Nokoyawa fidye yazılımı grubunun resmi iletişim kanalı olan Nokoyawa Leaks, bu hafta karanlık ağda yeniden ortaya çıktı ve 24 yeni kurbanın listesini ortaya çıkardı.
Grup, en son varyantı olan Nokoyawa 2.0 ile gelişmiş dosya şifreleme yeteneklerini sergiliyor ve yüksek performanslı Rust programlama dilini kullanıyor.
Nokoyawa fidye yazılımı, emsalleri ALPHV veya LockBit kadar üretken değildir. Bu nedenle, yaklaşık iki düzine kurbanın birdenbire listelenmesi tehlike işaretleri yarattı. Üstelik Hive fidye yazılımının bir türevi olması olası riskleri daha da kötüleştiriyor.
Öncelikle 64-bit Windows sistemlerinde çalışan Nokoyawa fidye yazılımı grubu, veri hırsızlığını geleneksel dosya şifreleme ve fidye talepleriyle birleştirerek çifte gasp taktikleriyle ün kazandı.
Nokoyawa fidye yazılımı grubu, geçtiğimiz günlerde Kaspersky araştırmacılarının faillerin fidye yazılımını dağıtmak için Windows Ortak Günlük Dosya Sistemindeki (CLFS) bir sıfır gün güvenlik açığından yararlandığını açıkladığında siber güvenlik haberlerinde birdenbire ortaya çıktı.
Durumun ciddiyeti, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), Windows sıfır günlük CVE-2023-28252’yi Bilinen Yararlanılan Güvenlik Açıkları listesine dahil etmesine neden oldu.
İşte Nokoyawa fidye yazılımı grubu, kökenleri ve çalışma şekli hakkında bilmeniz gerekenler.
Nokoyawa fidye yazılımı grubu: Kökenler
Nokoyawa fidye yazılımı grubu ilk olarak Şubat 2022’de 64 bit Windows tabanlı bir sistem üzerine kurulu olarak ortaya çıktı. Araştırmacılar, yeni giriş yapan her yerde Hive fidye yazılımının pug işaretlerini keşfetmekte hızlı davrandılar.
2021’in ikinci yarısında Hive fidye yazılımı, yalnızca dört aylık bir süre içinde 300’den fazla kuruluşa yaptığı yaygın saldırılarla büyük ilgi gördü. Bu kötü niyetli grup, potansiyel olarak milyonlarca ABD dolarına ulaşan önemli karlar elde etmeyi başardı.
Mart 2022’de Trend Micro araştırmacıları, Hive ile daha az bilinen Nokoyawa fidye yazılımı grubu arasında bir bağlantı olduğunu ortaya çıkardı.
Benzerlikler
Kullanılan araçlardan saldırı adımlarının sıralı yürütülmesine kadar iki fidye yazılımı ailesi arasındaki benzerlikler, olası bir bağlantıya işaret ediyor.
Trend Micro araştırmacıları, her iki grubun da saldırının ilk aşamasında tutunmak için Kobalt Saldırısı kullandığını belirtti.
Ek olarak, savunma önlemlerinden kaçınmak için öncelikle rootkit’e karşı tarama için kullanılan GMER ve PC Hunter gibi yaygın olarak kullanılan meşru araçlara güvenirler.
Trend Micro araştırmacıları, “Bilgi toplama ve yatay dağıtım gibi diğer adımlar da benzerdir” dedi.
Nokoyawa fidye yazılımı grubu: Özellikler
Başlangıçta C programlama dilinde yazılan ve SECT233R1 ile Elliptic Curve Cryptography (ECC) kullanan kötü amaçlı yazılım, asimetrik şifreleme ve dosya şifreleme için bir Salsa20 simetrik anahtarı aracılığıyla kuruluşları hedef aldı.
Fidye yazılımı hakkında bir Zscaler tehdit değerlendirme raporu, “Eylül 2022’de Nokoyawa, dosya şifreleme için Curve25519 ve Salsa20 ile ECC kullanılarak Rust programlama dilinde yeniden yazıldı” dedi.
Güncellenmiş sürüm olan Nokoyawa 2.0, bir komut satırı yapılandırma parametresi aracılığıyla çalışma zamanı esnekliği sunarak fidye yazılımının yeteneklerini daha da geliştirdi.
Zscaler araştırmacıları, Nokoyawa 2.0’ın ayırt edici bir özelliğinin, komut satırı aracılığıyla tam bir yapılandırma dosyası gerektirme şeklindeki benzersiz tasarım seçimi olduğunu belirtti.
Bu yaklaşım, kötü amaçlı yazılım yazarlarının fidye yazılımını birden fazla tehdit aktörüne hitap edecek şekilde uyarladığını gösteriyor. Bu üye kuruluşlara büyük olasılıkla kuruluşları tehlikeye atmak ve fidye yazılımını dağıtmak için ödeme yapılır ve karşılığında kârın bir yüzdesi alınır.
Nokoyawa’nın şifreleme algoritmaları
Nokoyawa 2.0 tarafından kullanılan şifreleme algoritmaları, x25519_dalek Rust kitaplığına dayalı asimetrik şifreleme için popüler bir seçim olan Curve25519 ile simetrik şifreleme için Salsa20’yi birleştirir.
Yürütme üzerine, Nokoyawa geçici bir Curve25519 anahtar çifti oluşturur. Yapılandırma parametresi aracılığıyla iletilen Curve25519 genel anahtarıyla bir Diffie-Hellman anahtar değişimi kullanan fidye yazılımı, Salsa20 anahtarı olarak hizmet veren paylaşılan bir sır türetiyor.
Ek olarak, dosya uzantısı, sekiz bayt uzunluğunda olması gereken nonce işlevi görür. Özellikle Nokoyawa, dosyaları bloklara bölerek ve parçalar halinde şifreleyerek verimli bir şekilde şifreleyerek şifreleme sürecini hızlı ve etkili hale getirir.
Nokoyawa ransomware grubunun gasp yöntemleri
Nokoyawa fidye yazılımı grubu, taleplerini iletmek için dosya adı ve içeriği yapılandırma komut satırı parametresinden geçirilen bir fidye notu kullanır.
Zscaler raporunda, “Nokoyawa kötü amaçlı yazılım yazarının komut satırı yoluyla tam bir yapılandırma dosyası iletme kararı benzersiz bir tasarım seçimidir” dedi.
“Bu, kötü amaçlı yazılım yazarının, fidye yazılımını, kuruluşları tehlikeye atmak ve kârın belirli bir yüzdesi karşılığında fidye yazılımını dağıtmak için muhtemelen bağlı kuruluş olarak ödeme alan birden fazla tehdit aktörü için esnek olacak şekilde geliştirdiğinin göstergesidir.”
Nokoyawa fidye yazılımı grubunun örnek fidye notu niyetlerini ortaya koyuyor ve kurbana nasıl ilerleyeceği konusunda talimatlar veriyor. Ayrıca fidye notları, müzakerelerin gerçekleştirilebileceği bir sohbet portalı olarak hizmet veren bir TOR gizli hizmetine bir bağlantı içerir.
İlginç bir şekilde, aynı TOR gizli hizmeti bir veri sızıntısı sitesine ev sahipliği yapıyor. Zscaler raporuna göre şu an itibariyle sitede yalnızca bir kurban listeleniyor, bu da Nokoyawa fidye yazılımı grubunun çok sayıda kuruluşu tehlikeye atmamış olabileceğini veya tehdit aktörlerinin seçici olarak çifte gasp saldırılarına girişmiş olabileceğini gösteriyor.