Nokoyawa Ransomware

Die Nokoyawa-Ransomware ist eine größtenteils unbekannte Bedrohung, aber das bedeutet in keiner Weise, dass sie weniger zerstörerisch ist als andere, berüchtigtere Ransomware-Bedrohungen. Sobald es gelungen ist, die Zielcomputer zu infiltrieren, aktiviert Nokoyawa seine Verschlüsselungsroutine und sperrt zahlreiche wichtige Dateitypen, die auf den Geräten gefunden werden. Bisher haben Cybersicherheitsforscher keinen Hinweis darauf gefunden, dass die Betreiber von Nokoyawa bei ihren Drohangriffen Techniken der doppelten Erpressung anwenden. In der Praxis bedeutet dies, dass die Hacker keine Informationen von den angegriffenen Geräten sammeln, die sie dann androhen könnten, sie öffentlich zugänglich zu machen, wenn sich die Opfer entscheiden, das geforderte Lösegeld nicht zu zahlen. Die meisten der identifizierten Nakoyawa-Opfer befinden sich in Südamerika, genauer gesagt in Argentinien.

Laut einem von den Forschern veröffentlichten Bericht verwendet Nakoyawa in seinem Verschlüsselungsprozess die BCryptGenRandom-API und generiert einen neuen Wert für jede Zieldatei. Es verwendet auch eine fest codierte Nonce – „lvcelcve“ und Salsa, um die Daten des Opfers zu verschlüsseln. Der verwendete Schlüssel wird dann durch ein ECDH-Schlüsselpaar verschlüsselt. Die entdeckten Nakoyawa-Proben verwendeten jedoch keinen Packer, sodass ihre Code-Strings offen und einfach zu analysieren waren.

Verbindungen zur Hive Gang

Bei der Untersuchung der Bedrohung fanden die Forscher zahlreiche Ähnlichkeiten mit den Drohkampagnen, die die Hive-Ransomware- Bedrohung eingesetzt haben. Die Hive-Bedrohung erreichte ihren Höhepunkt im Jahr 2021, als es ihr gelang, in nur vier Monaten über 300 Organisationen zu verletzen. Selbst wenn nur ein Bruchteil der Opfer ein Lösegeld an die Angreifer zahlt, können die Hacker immer noch Millionengewinne erzielen.

Die gefundenen Beweise reichen aus, um den Schluss auf eine wahrscheinliche Verbindung zwischen den beiden Malware-Familien zu stützen. Tatsächlich wurden bei beiden Operationen die Ransomware-Nutzlasten mithilfe von Cobalt Strike an die betroffenen Geräte übermittelt. Anschließend setzten die Angreifer legitime, aber oft missbrauchte Tools ein, wie den Anti-Rootkit-Scanner GMER zur Verteidigungsumgehung und PC Hunter zur Datenerfassung und Verteidigungsumgehung. In beiden Fällen wurde eine seitliche Bewegung innerhalb des kompromittierten Netzwerks über PsExec erreicht. Es scheint, dass die Hive-Betreiber auf eine neue Malware-Familie umgestiegen sind, möglicherweise über ein RaaS-Schema (Ransomware-as-a-Service), während sie den größten Teil der gleichen Angriffsinfrastruktur beibehalten.