Nokoyawa

Überblick

Nokoyawa ist eine Ransomware-Gruppe, die nach dem Prinzip der doppelten Erpressung (Double Extortion) vorgeht: Sie verschlüsselt die Daten ihrer Opfer und droht zugleich mit deren Veröffentlichung. Die Gruppe betreibt ein Ransomware-as-a-Service-Modell (RaaS), das von einem Bedrohungsakteur unter dem Namen „farnetwork“ gesteuert wird und über das auch Partner an den Angriffen beteiligt werden. Im Fokus stehen vor allem Unternehmen in Südamerika, darunter Einrichtungen aus dem Gesundheitswesen, der Finanzbranche, dem öffentlichen Sektor sowie der Fertigungsindustrie. Besondere Aufmerksamkeit erlangte Nokoyawa durch die Ausnutzung einer bis dahin unbekannten Schwachstelle (Zero-Day) im Windows-Protokolldienst Common Log File System (CLFS), über die sich erhöhte Rechte auf kompromittierten Systemen erlangen lassen. Damit zeigt die Gruppe, dass sie nicht allein auf vorgefertigte Werkzeuge setzt, sondern auch eigenständig technische Schwachstellen für ihre Angriffe verwertet.

Taktiken & Vorgehen

Für ihre Angriffe nutzt Nokoyawa ein Bündel etablierter Werkzeuge. Zur Erkundung kompromittierter Netzwerke kommen „AdFind“ für die Abfrage von Active-Directory-Informationen sowie „SoftPerfect NetScan“ zum Scannen erreichbarer Systeme zum Einsatz. Die seitliche Ausbreitung im Netzwerk erfolgt über „PsExec“, für Steuerung und weiterführende Aktivitäten nach der Erstinfektion wird das Framework „Cobalt Strike“ verwendet. Den dauerhaften Fernzugriff auf befallene Systeme sichert die Gruppe über die Fernwartungssoftware „AnyDesk“. Für den Abfluss von Daten — die Grundlage der doppelten Erpressung — setzt Nokoyawa den FTP-Client „FileZilla“ ein. Zusätzlich verwertet die Gruppe eine Schwachstelle im Windows-Dienst CLFS, um auf den Zielsystemen erhöhte Rechte zu erlangen.

Schutzmaßnahmen

Der Einsatz von Fernwartungssoftware wie „AnyDesk“ sollte unterbunden oder auf freigegebene Werkzeuge beschränkt und deren Nutzung protokolliert werden. Die Ausführung von Administrationswerkzeugen wie „PsExec“ sollte eingeschränkt und auf verdächtige seitliche Bewegungen im Netzwerk überwacht werden. Auffällige Active-Directory-Abfragen sowie interne Netzwerk-Scans, wie sie „AdFind“ und „SoftPerfect NetScan“ erzeugen, sollten erkannt und untersucht werden. Ausgehende FTP-Verbindungen, über die mit „FileZilla“ Daten abgeflossen werden können, sollten kontrolliert und reglementiert werden. Zur Erkennung von „Cobalt Strike“ sollte der Netzwerkverkehr auf typische Command-and-Control-Muster hin überwacht werden. Sicherheitsrelevante Aktualisierungen für den Windows-Dienst CLFS sollten zeitnah eingespielt werden.