Nokoyawa Ransomware

El Nokoyawa Ransomware es una amenaza en su mayoría desconocida, pero eso de ninguna manera significa que sea menos destructivo que otras amenazas de ransomware más notorias. Una vez que haya logrado infiltrarse en las computadoras objetivo, Nokoyawa activará su rutina de cifrado y bloqueará numerosos tipos de archivos importantes que se encuentran en los dispositivos. Hasta el momento, los investigadores de ciberseguridad no han encontrado ningún indicio de que los operadores de Nokoyawa estén utilizando técnicas de doble extorsión en sus ataques amenazantes. En la práctica, esto significa que los piratas informáticos no recopilan información de los dispositivos violados que luego pueden amenazar con poner a disposición del público si las víctimas deciden no pagar el rescate exigido. La mayoría de las víctimas de Nakoyawa identificadas se encuentran en América del Sur, y más concretamente en Argentina.

Según un informe publicado por los investigadores, en su proceso de cifrado, Nakoyawa utiliza la API BCryptGenRandom y genera un nuevo valor para cada archivo objetivo. También utiliza un nonce codificado - 'lvcelcve' y Salsa para cifrar los datos de la víctima. Luego, la clave utilizada se cifra a través de un par de claves ECDH. Sin embargo, las muestras descubiertas de Nakoyawa no usaban un empaquetador, dejando sus cadenas de código al descubierto y fáciles de analizar.

Conexiones con la banda de la colmena

Mientras estudiaban la amenaza, los investigadores encontraron numerosas similitudes con las campañas amenazantes que implementaron la amenaza Hive Ransomware. La amenaza Hive alcanzó su punto máximo en 2021, cuando logró vulnerar más de 300 organizaciones en solo cuatro meses. Incluso si solo una fracción de las víctimas pagara un rescate a los atacantes, eso aún podría dejar a los piratas informáticos con ganancias millonarias.

La evidencia encontrada es suficiente para respaldar la conclusión de una posible conexión entre las dos familias de malware. De hecho, en ambas operaciones, las cargas de ransomware se enviaron a los dispositivos violados mediante el uso de Cobalt Strike. Posteriormente, los atacantes emplearon herramientas legítimas pero a menudo abusadas, como el escáner anti-rootkit GMER para la evasión de la defensa y PC Hunter para la recopilación de datos y la evasión de la defensa. En ambos casos, el movimiento lateral dentro de la red comprometida se logró a través de PsExec. Parece que los operadores de Hive pueden haber cambiado a una nueva familia de malware, posiblemente a través de un esquema RaaS (Ransomware-as-a-Service), mientras mantienen la mayor parte de la misma infraestructura de ataque.