Hive, que es una de las familias de ransomware más notables de 2021, hizo olas en la segunda mitad del año después de violar a más de 300 organizaciones en solo cuatro meses , lo que permitió al grupo obtener unos cuantos millones de dólares pero... El día de hoy hablaremos de un ransomware relativamente desconocido llamado Nokoyawa el cual posiblemente esta relacionado con Hive, ya que las dos familias comparten algunas similitudes sorprendentes en su cadena de ataque.
Algunos de los indicadores que comparten Nokoyawa y Hive incluyen el uso de Cobalt Strike como parte de la fase de llegada del ataque, así como el uso de herramientas legítimas, pero comúnmente abusadas , como el anti-rootkit, escáneres GMER y PC Hunter para evasión de defensa y otros pasos, como la recopilación de información y el despliegue lateral.
Aunque no se esta completamente seguro de cómo se entrega Nokoyawa a sus víctimas, dadas las similitudes con Hive, es probable que utilice métodos similares, como correos electrónicos de phishing para llegar por lo cual es que no debes confiar en correos sospechosos que te lleguen a tu cuenta y mucho menos si tienen enlaces sospechosos.
A pesar de sus similitudes, las dos familias de ransomware todavía tienen algunas diferencias. Por ejemplo, la mayoría de las variantes de ransomware de Hive que hemos observado se empaquetaron con UPX, mientras que la muestra de Nokoyawa no usó ningún empaquetador para la muestra binaria, lo que dejó las cadenas del archivo desnudas y fáciles de analizar.
A pesar de todo esto, es importante que comprendamos que los ransomware son uno de los tipos de malware más destructivos en la actualidad debido a su capacidad para comprometer y filtrar datos críticos. Por lo tanto, las organizaciones deben asegurarse de que su información esté lo más segura posible de los ataques de ransomware ya sean grandes compañías o pequeñas.
