Nokoyawa Ransomware

Nokoyawa Ransomwareはほとんど未知の脅威ですが、それは他のより悪名高いランサムウェアの脅威よりも破壊的ではないことを意味するものではありません。対象のコンピューターに侵入すると、Nokoyawaは暗号化ルーチンを実行し、デバイスで見つかった多数の重要なファイルタイプをロックします。これまでのところ、サイバーセキュリティの研究者は、ノコヤワのオペレーターが脅迫的な攻撃に二重恐喝技術を使用しているという兆候を発見していません。実際には、これは、ハッカーが侵害されたデバイスから情報を収集せず、被害者が要求された身代金を支払わないと決定した場合に公開すると脅迫する可能性があることを意味します。特定されたナコヤワの犠牲者のほとんどは南アメリカ、より具体的にはアルゼンチンにいます。

研究者が発表したレポートによると、Nakoyawaは暗号化プロセスで、BCryptGenRandom APIを使用して、ターゲットファイルごとに新しい値を生成します。また、ハードコードされたナンス（'lvcelcve'）とSalsaを使用して、被害者のデータを暗号化します。使用されたキーは、ECDHキーペアを介して暗号化されます。ただし、発見されたNakoyawaサンプルはパッカーを使用せず、コード文字列を開いたままにして分析しやすくしました。

ハイブギャングへの接続

脅威を調査しているときに、研究者はHiveRansomwareの脅威を展開した脅威キャンペーンと多くの類似点を発見しました。 Hiveの脅威は、わずか4か月で300を超える組織を侵害した2021年にピークに達しました。犠牲者のほんの一部が攻撃者に身代金を支払ったとしても、それでもハッカーに数百万の利益を残す可能性があります。

見つかった証拠は、2つのマルウェアファミリー間の関係の可能性の結論を裏付けるのに十分です。実際、どちらの操作でも、ランサムウェアのペイロードはCobaltStrikeを使用して侵害されたデバイスに配信されました。その後、攻撃者は、防御回避のためのアンチルートキットスキャナーGMERやデータ収集と防御回避のためのPC Hunterなど、正当であるが悪用されることが多いツールを使用しました。どちらの場合も、侵害されたネットワーク内の横方向の動きはPsExecを介して達成されました。 Hiveのオペレーターは、同じ攻撃インフラストラクチャのほとんどを維持しながら、おそらくRaaS（Ransomware-as-a-Service）スキームを介して新しいマルウェアファミリーに切り替えた可能性があります。