nokoyawa - RunkIntel

# Nokoyawa ## Visão Geral Nokoyawa e um grupo de ransomware sofisticado que emergiu em fevereiro de 2022 e ficou notorio por um padrao de comportamento incomum no ecosistema do cibercrime: **uso sistematico de exploits zero-day em vulnerabilidades do Windows Common Log File System (CLFS)**, capacidade normalmente reservada a grupos APT patrocinados por estados. A Kaspersky identificou que o grupo utilizou pelo menos **5 exploits distintos do driver CLFS** - todos provavelmente desenvolvidos pelo mesmo autor de exploits - para escalar privilegios e implantar o ransomware. O caso mais notavel e o **CVE-2023-28252**, um zero-day no CLFS descoberto pela Kaspersky em fevereiro de 2023 e corrigido pela Microsoft no Patch Tuesday de abril de 2023. O grupo e descrito como "criminosos sofisticados com recursos de APT". ## Caracteristica Distintiva - Zero-Days em CLFS ```mermaid graph TB A["Nokoyawa Group Sofisticacao APT-level Criminosos financeiramente motivados"] --> B["CVE-2022-24521 CLFS zero-day Jun 2022"] A --> C["CVE-2022-37969 CLFS zero-day 2022"] A --> D["CVE-2023-23376 CLFS zero-day Ján 2023"] A --> E["CVE-2023-28252 CLFS zero-day Fev 2023 - descoberto Kaspersky"] style A fill:#e74c3c,color:#fff style B fill:#3498db,color:#fff style C fill:#8e44ad,color:#fff style D fill:#e67e22,color:#fff style E fill:#196f3d,color:#fff ``` ## Attack Flow Nokoyawa ```mermaid graph TB A["🎯 Acesso Inicial Métodos nao específicados Autenticação local necessária"] --> B["🔐 Escalada Zero-Day CLFS exploit (CVE-2023-28252) Obtém SYSTEM privileges"] B --> C["🔑 Roubo de Credenciais Dump SAM database LSASS memory (T1003.001)"] C --> D["🔀 Cobalt Strike DNS Beacon para C2 Movimento lateral na rede"] D --> E["📦 Staging Preparação pre-criptografia Coleta de dados criticos"] E --> F["💥 Nokoyawa Ransomware C (inicial) ou Rust (v2) JSON config + dupla extorsao"] style A fill:#e74c3c,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#2980b9,color:#fff style E fill:#8e44ad,color:#fff style F fill:#196f3d,color:#fff ``` ## Relevância para o Brasil e LATAM > [!tip] Contexto Defensivo para o Brasil > O Nokoyawa demonstrou capacidade de operar em múltiplos setores e geografias, com alvos documentados no Oriente Medio, América do Norte e Asia. O padrao de exploits CLFS e aplicavel a qualquer sistema Windows nao atualizado - o que e uma realidade frequente em organizacoes brasileiras com ciclos de patch lentos. A CVE-2023-28252 foi adicionada ao catalogo CISA KEV, indicando exploração ativa. Organizacoes brasileiras nos setores de energia, manufatura e saúde devem priorizar a aplicação de patches CLFS. ## CVE-2023-28252 - Análise Técnica | Aspecto | Detalhe | |---------|---------| | Tipo | Elevação de privilegios (EoP) | | Componente | Windows Common Log File System Driver | | CVSS | 7.8 (High) | | Versoes afetadas | Windows 7 até Windows 11; Server 2008-2022 | | Exploração | Out-of-bounds write no metadata block do .blf | | Objetivo | Obtencao de privilegios SYSTEM | | Patch | April 2023 Patch Tuesday | | CISA KEV | Sim - prazo FCEB: 2 de maio de 2023 | ## Evolução do Ransomware - **Fev 2022:** Nokoyawa v1 - linguagem C; "rebranding" do JSWorm - **Set 2022:** Nokoyawa v2 - reescrito em Rust; base de código completamente distinta - **2022-2023:** Pelo menos 5 variantes do exploit CLFS utilizados - Sobreposicoes de código com: JSWorm, Karma, Nemty ransomware - Semelhancas na cadeia de ataque com: operações Hive (desmantelado) ## Setores Afetados (2022-2023) - Varejo e atacado - Energia - Manufatura - Saúde - Desenvolvimento de software - Outros setores (ataques oportunistas) ## Técnicas Utilizadas - [[t1068-exploitation-for-privilege-escalation|T1068]] - CLFS zero-day para escalada de privilegios (CVE-2023-28252) - [[t1003-001-lsass-memory|T1003.001]] - Dump do SAM database para credenciais - [[t1486-data-encrypted-for-impact|T1486]] - Criptografia com configuração JSON - [[t1059-003-windows-command-shell|T1059.003]] - Execução via linha de comando ## Software Utilizado - Nokoyawa Ransomware (C / Rust) - Payload final de criptografia - [[s0154-cobalt-strike|Cobalt Strike]] - Beacon DNS para C2 e movimento lateral ## Indicadores de Comprometimento (Historicos) **Dominios C2 documentados:** - `vnssinc[.]com` - `qooqle[.]top` - `vsexec[.]com` - `devsetgroup[.]com` **Arquivos temporarios:** - `C:\Users\Public\.container*` - `C:\Users\Public\MyLog*.blf` - `C:\Users\Public\p_*` ## Detecção e Mitigação **Detecção:** - Monitorar exploração de [[t1068-exploitation-for-privilege-escalation\|T1068]] via driver CLFS (`clfs.sys`) com calls anômalos ao kernel - Alertar em processos com dump de memória LSASS ([[t1003-001-lsass-memory\|T1003.001]]) fora de contexto de diagnóstico - Detectar criptografia em massa de arquivos via EDR (padrão [[t1486-data-encrypted-for-impact\|T1486]]) - Monitorar Cobalt Strike DNS beacon: queries DNS para domínios C2 com padrão `*.vnssinc[.]com` **Mitigações:** - Aplicar patch para [[cve-2023-28252\|CVE-2023-28252]] (Patch Tuesday abril 2023) — exploração ativa documentada - Implementar [[m1049-antivirusantimalware\|M1049 - Antivírus/Antimalware]] com detecção comportamental de ransomware - Restringir acesso a processos LSASS via LSA Protection e Credential Guard - Manter backups offline testados — o Nokoyawa exclui Volume Shadow Copies durante execução --- *Fontes: [Kaspersky - CVE-2023-28252 Analysis](https://securelist.com/nokoyawa-ransomware-attacks-with-windows-zero-day/109483/) | [BleepingComputer](https://www.bleepingcomputer.com/news/security/windows-zero-day-vulnerability-exploited-in-ransomware-attacks/) | [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)*