El ransomware es una amenaza constante. Constantemente se detectan nuevas variantes y las amenazas existentes siguen agregando nuevas características y técnicas para realizar operaciones maliciosas . Un ejemplo notable es el ransomware Nokoyawa, una nueva variante posiblemente relacionada con Hive y Babuk.
Profundizando en los detalles de Nokoyawa
A primera vista, el binario Nokoyawa no está empaquetado ni protegido por autores de ransomware. Como se ve a continuación, podemos observar cadenas de texto sin formato que indican algunas de las características de este ransomware.
1: Cadenas de ransomware Nokoyawa no ofuscadas.
Opciones de línea de comando de Nokoyawa
Nokoyawa ha codificado varias posibilidades de línea de comando para ejecuciones personalizadas, como se muestra en la 1, a saber:
- -ayuda: imprime la lista de comandos disponibles
- -red: cifra todas las unidades de red locales, incluidos los recursos compartidos de red
- -file filePath: cifra un solo archivo
- -dir dirPath: cifra la carpeta y subcarpetas seleccionadas
Si no se proporciona ningún argumento sobre la ejecución del terminal, Nokoyawa cifra todas las unidades y volúmenes locales de forma predeterminada. Como se destaca a continuación, si la variable » v6 » (el número de argumentos de la línea de comando) no es igual a 2, el ransomware pasa la ejecución a la función «sub_140003380()» e inicia el proceso de cifrado en todos los volúmenes disponibles.
2: Nokoyawa cifra todos los volúmenes y unidades de forma predeterminada si no se pasa ningún argumento en la línea de comando.
Archivos omitidos durante el proceso de cifrado
Este ransomware aprovecha el subproceso múltiple para cifrar archivos de manera eficiente y rápida. Algunos archivos y extensiones se omiten durante el tiempo de ejecución del malware. Las carpetas están codificadas (consulte la lista a continuación), pero las extensiones de archivos ignoradas están en texto limpio: dll , exe y lnk .
Asimismo, durante el proceso se excluyen los archivos que tengan en su nombre NOKOYAWA.
0x11f299b5
program files
0x78fb3995
program files (x86)
0x7c80b426
appdata
0x7c8cc47c
windows
0xc27bb715
programdata
0xd6f02889
$recycle.bin
3: Carpetas omitidas durante la ejecución de Nokoyawa.
4: Las extensiones de archivo se ignoran en tiempo de ejecución.
Proceso de cifrado
Nokoyawa utiliza la llamada BCryptGenRandom( ) desde bcrypt.dll para generar 0xytes aleatorios (semilla), creando un nuevo par de claves de criptografía de curva elíptica (ECC): claves públicas y privadas. Después de eso, la clave pública dentro del malware y el par generado en el paso anterior se utilizan para generar una clave SALSAompartida y simétrica, que se utilizará para cifrar los archivos de destino. Como se muestra a continuación, el nonce utilizado en SALSAstá codificado: » lvcelvce «.
5: Inicio del proceso de cifrado y el nonce codificado utilizado en SALSA/p>
El hash SHA1 de la clave generada se agrega al final de cada archivo dañado, junto con la clave pública y la cadena NOKOYAWA. Además, la clave pública del archivo cifrado y la clave privada propiedad de los operadores de Nokoyama son necesarias para generar la clave simétrica SALSAara descifrar cada archivo dañado. A continuación se muestra una imagen del descifrador Nokoyawa.
6: Descifrador Nokoyawa.
Nota de ransomware
A cada archivo cifrado se le ha añadido la extensión .NOKOYAWA . La nota de ransomware llamada » NOKOYAWA_readme.txt » también se coloca en cada carpeta con una versión en inglés y chino en el mismo archivo.
7: Nota sobre el ransomware Nokoyawa.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Medidas de prevención de ransomware
El ransomware es uno de los programas maliciosos más peligrosos porque puede comprometer y filtrar datos confidenciales. Es costoso y tiene un impacto negativo en la reputación de las marcas afectadas. Por ello, es necesaria una estrategia de ciberseguridad para combatir esta amenaza.
Aunque no existe una fórmula perfecta para detener los incidentes de ransomware, implementar procedimientos de monitoreo, utilizar soluciones de seguridad basadas en host como antivirus y EDR y aumentar el uso de archivos canary son instrumentos elementales que podrían ayudarlo a evitar el daño de estas amenazas en la naturaleza.
Fuentes:
- Ransomware relacionado con Hive , TrendMicro
- Nueva variante de Nokoyawa , Fortinet
- Nokoyawa ransomware , SentinelOne
- Archivos canarios , Instituto Infosec