nokoyawa
Perfil del Actor
Nokoyawa es un grupo de amenaza asociado al ciberataque de ransomware, conocido por su modelo de RaaS (Ransomware-as-a-Service) que comenzó a operar en 2022 bajo el nombre "farnetwork". Este actor se enfoca principalmente en sectores empresariales de América del Sur, incluyendo salud, servicios financieros, gobierno y manufactura. Su atención en 2023 fue destacada por la explotación de un cero-día en Windows (CVE-2023-28252), lo que aumentó su notoriedad en el ámbito cibernético.
Origen y Motivación
Nokoyawa opera con una estrategia basada en la extorsión doble, combinando ransomware con el secuestro de datos críticos. Su motivación parece estar relacionada con la obtención de recompensas monetarias mediante ataques cibernéticos. El grupo se enfoca en regiones donde las empresas pueden ser vulnerables debido a una falta de seguridad informática, lo que les permite aprovechar oportunidades como el cero-día mencionado.
Técnicas y Tacticas (TTPs)
Nokoyawa utiliza un modelo RaaS para facilitar la distribución de su ransomware, permitiendo a otros atacantes monetizar sus habilidades. Sus tácticas incluyen:
-
Phishing: Para ganar acceso a sistemas vulnerables.
-
Exploit de cero-día (CVE-2023-28252): Para comprometer máquinas Windows sin necesidad de credenciales.
-
Extorsión doble: Encripta datos y exige pago para restablecerlos, además de amenazar con divulgar información sensible.
Campanas Conocidas
El grupo ha sido asociado con ataques a 36 organizaciones en América del Sur. Una de sus campañas más notables fue la explotación del cero-día CVE-2023-28252, lo que permitió a Nokoyawa comprometer sistemas críticos y exigir pagos. Estas operaciones reflejan su capacidad para adaptarse a vulnerabilidades recientes en software de Windows.
Objetivos y Victimas
Nokoyawa prioriza empresas de sectores clave, como salud, finanzas, gobierno y manufactura, en América del Sur. Sus victimas incluyen organizaciones con infraestructuras críticas que pueden ser fácilmente atacadas debido a una falta de actualizaciones o medidas de seguridad. La estrategia de atención a regiones específicas sugiere un enfoque geográfico basado en la vulnerabilidad local.
Indicadores de Compromiso (IOCs)
| Tipo |
Valor |
Contexto |
| C2 Server (DLS) |
6yofnrq7evqrtz3tzi3dkbrdovtywd35lx3iqbc5dyh367nrdh4jgfyd.onion |
Servidor de control para la distribución del ransomware. |
| C2 Server (DLS) |
lirncvjfmdhv6samxvvlohfqx7jklfxoxj7xn3fh7qeabs3taemdsdqd |
Servidor de control asociado a la operación de ransomware. |
Detección y Defensa
Para mitigar el impacto de Nokoyawa, las organizaciones deben:
-
Monitorear redes para detectar anomalías en tráfico de datos.
-
Actualizar software Windows para cerrar vulnerabilidades como CVE-2023-28252.
-
Implementar soluciones de detección avanzada (EDR) para identificar actividades maliciosas en tiempo real.
-
Educar a los empleados sobre phishing y prácticas de seguridad informática.