# Nokoyawa Campaign 2023 > [!high] Zero-day Windows CLFS explorado exclusivamente em campanha de ransomware > A campanha Nokoyawa ficou conhecida quando a Kaspersky identificou em fevereiro de 2023 o uso do [[cve-2023-28252|CVE-2023-28252]] — uma vulnerabilidade zero-day no Windows Common Log File System (CLFS) — como parte de ataques do ransomware [[nokoyawa-ransomware]]. Este foi um dos raros casos em que um zero-day de privilégio elevado foi usado específicamente para facilitar ataques de ransomware, e a Microsoft o corrigiu em seu Patch Tuesday de abril de 2023. ## Visão Geral A campanha Nokoyawa destacou-se pela sofisticação incomum do grupo por trás do ransomware: ao invés de depender apenas de vulnerabilidades conhecidas ou credenciais comprometidas para escalonamento de privilégios, o grupo utilizou um zero-day no driver CLFS.sys do Windows ([[cve-2023-28252|CVE-2023-28252]]) para elevar privilégios de usuário standard para SYSTEM — contornando controles de acesso e possibilitando o deploy completo do ransomware em sistemas altamente protegidos. O [[nokoyawa-ransomware]] é técnicamente relacionado ao JSWorm/Nemty/Nefilim/Karma — uma linhagem de ransomware que compartilha código e evoluiu ao longo de vários anos. A campanha de 2023 com o zero-day representou o pico de sofisticação dessa família. A Kaspersky atribuiu os ataques a um grupo com experiência em Windows low-level internals — a análise do exploit mostrou conhecimento profundo do funcionamento interno do driver CLFS e capacidade de desenvolvimento de exploits de qualidade. Para equipes de [[defense|segurança defensiva]], o caso Nokoyawa serve como exemplo de que grupos de ransomware estão investindo em pesquisa de vulnerabilidades de alta qualidade — anteriormente um domínio quase exclusivo de APTs estatais. A detecção de comportamento anômalo em processos de alto privilégio (especialmente criação/modificação de logs CLFS por processos não-sistema) seria o indicador preventivo mais eficaz neste caso. ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploitation for Privilege Escalation | [[t1068-exploitation-for-privilege-escalation\|T1068]] | CVE-2023-28252 zero-day no CLFS driver | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware Nokoyawa criptografando arquivos empresariais | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Acesso inicial com credenciais comprometidas | ## Referências - [1](https://securelist.com/nokoyawa-ransomware-with-windows-zero-day/109734/) Kaspersky - Nokoyawa Ransomware with Windows Zero-day (2023) - [2](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252) Microsoft MSRC - CVE-2023-28252 (2023) - [3](https://www.bleepingcomputer.com/news/security/windows-zero-day-vulnerability-exploited-in-nokoyawa-ransomware-attacks/) BleepingComputer - Windows Zero-Day in Nokoyawa Attacks (2023)