# Nokoyawa Ransomware > [!high] Ransomware com Zero-Day CLFS - CVE-2023-28252 > Nokoyawa é um ransomware identificado em fevereiro de 2022, notório por ser a primeira campanha de ransomware a explorar uma vulnerabilidade **zero-day no driver CLFS do Windows** ([[cve-2023-28252|CVE-2023-28252]], CVSS 7.8), descoberta pelo Kaspersky GReAT em abril de 2023. Acredita-se ser um rebrand do **JSWorm**, com código compartilhado confirmado por pesquisadores. Operou contra alvos em SMBs no Oriente Médio, América do Norte e Ásia. ## Visão Geral Nokoyawa emergiu em fevereiro de 2022 como um ator de ransomware relativamente desconhecido, com foco em pequenas e médias empresas (SMBs) ao invés dos grandes alvos corporativos preferidos por grupos como REvil e Conti. No entanto, o grupo ganhou relevância significativa em abril de 2023 quando o Kaspersky GReAT (Global Research and Analysis Team) descobriu que o Nokoyawa explorava a [[cve-2023-28252|CVE-2023-28252]] - uma vulnerabilidade de escalonamento de privilégios local no driver **Windows Common Log File System (CLFS)** - como zero-day, antes que a Microsoft emitisse o patch no Patch Tuesday de abril de 2023. A descoberta do Kaspersky revelou algo ainda mais preocupante: o mesmo desenvolvedor havia criado pelo menos cinco exploits diferentes para vulnerabilidades CLFS, todas usadas em campanhas de ransomware entre 2022 e 2023. Isso sugere um ator especializado em desenvolvimento de exploits para drivers Windows, vendendo ou alugando exploits para grupos de ransomware. O Nokoyawa é técnicamente considerado uma variante ou rebrand do JSWorm, um ransomware ativo desde 2019. Pesquisadores identificaram sobreposição significativa de código e padrões de comportamento entre as duas famílias, sugerindo operadores em comum ou acesso ao código-fonte original. ## Como Funciona **Acesso inicial:** 1. Campanhas de spam phishing com documentos maliciosos como vetor primário 2. Exploração de sistemas RDP expostos com credenciais fracas ou comprometidas 3. Compra de acesso inicial em marketplaces de Initial Access Brokers (IABs) **Escalada de privilégio via CLFS:** 1. Identificação do sistema Windows como alvo (o exploit não funciona em sistemas sem CLFS) 2. Exploração da CVE-2023-28252 (CLFS driver) para escalonamento de SYSTEM privileges 3. A vulnerabilidade permite que um processo de baixo privilégio crie/modifique arquivos de log CLFS de forma que corrompem estruturas de kernel, resultando em escalonamento para SYSTEM **Pós-exploração:** 1. Deployamento do [[cobalt-strike|Cobalt Strike]] para persistência e movimento lateral 2. [[pipemagic|PipeMagic]] backdoor usado como segundo estágio em algumas campanhas 3. Mapeamento de compartilhamentos de rede e identificação de dados de alto valor 4. Desabilitação de ferramentas de backup e recuperação **Criptografia:** - Algoritmo Curve25519 para criptografia assimétrica (moderno e resistente) - ChaCha20 para criptografia simétrica de arquivos - Extensão `.NOKOYAWA` adicionada aos arquivos cifrados - Nota de resgate: `NOKOYAWA_readme.txt` ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Phishing ou<br/>RDP exposto"] --> B["Escalonamento<br/>CVE-2023-28252<br/>CLFS zero-day"] B --> C["SYSTEM Privileges<br/>Driver CLFS<br/>corrompido"] C --> D["Cobalt Strike<br/>Persistência e<br/>movimento lateral"] D --> E["PipeMagic<br/>Backdoor de<br/>segundo estagio"] E --> F["Desabilitacao Backup<br/>Shadow copies<br/>e ferramentas DR"] F --> G["Curve25519<br/>Cifragem ChaCha20<br/>extensao .NOKOYAWA"] G --> H["Extorsao<br/>NOKOYAWA_readme.txt<br/>contato para pagamento"] ``` **Legenda:** [[nokoyawa]] · [[cobalt-strike]] · [[cve-2023-28252|CVE-2023-28252]] · [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1486-data-encrypted-for-impact|T1486]] ## Timeline ```mermaid timeline title Nokoyawa - Linha do Tempo 2022-02 : Nokoyawa identificado : SMBs no Oriente Medio : Poucas vitimas documentadas 2022-09 : Relacionado ao JSWorm : Pesquisadores identificam : sobreposicao de código 2023-02 : Campanha expandida : America do Norte : Varios setores afetados 2023-04-01 : Kaspersky GReAT descobre : CVE-2023-28252 como zero-day : 5+ exploits CLFS pelo mesmo dev 2023-04-11 : Microsoft patch : Patch Tuesday Abril 2023 : CVE-2023-28252 corrigida 2023-05 : Uso pós-patch : Sistemas nao atualizados : Ainda explorados 2024 : Operacoes reduzidas : Baixa atividade detectada : Possível encerramento ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | ChaCha20 + Curve25519 para criptografia de arquivos | | Exploitation for Privilege Escalation | [[t1068-exploitation-for-privilege-escalation\|T1068]] | CVE-2023-28252 CLFS zero-day para SYSTEM privileges | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de shadow copies e ferramentas de backup | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts para pós-exploração e cleanup | | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Remoção de artefatos após operação | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Técnicas de empacotamento para evasão | ## Relevância para o Brasil e LATAM > [!latam] PMEs Brasileiras: Perfil Exato do Alvo Nokoyawa > O Nokoyawa focou em **pequenas e médias empresas** — exatamente o perfil dominante do parque corporativo brasileiro. O **CVE-2023-28252** (CLFS zero-day) afetou todos os sistemas Windows Server usados por governo e setor financeiro. PMEs de **manufatura** e **saúde** sem equipes de segurança dedicadas têm risco elevado ao padrão Cobalt Strike + PipeMagic + Curve25519. Nokoyawa e o padrão de exploração CLFS têm relevância direta para o Brasil: **Vulnerabilidade CLFS e Windows no Brasil:** - O [[government|governo]] brasileiro e o [[financial|setor financeiro]] operam extensivamente em ambientes Windows Server, todos potencialmente afetados pelo CVE-2023-28252 - Organizações que não aplicaram o patch de abril de 2023 permaneceram vulneráveis por semanas ou meses - SMBs brasileiras - que representam a maioria do parque corporativo nacional - são exatamente o perfil de vítima preferido pelo Nokoyawa **Exportabilidade do exploit CLFS:** - A descoberta de 5+ exploits CLFS pelo mesmo desenvolvedor sugere capacidade contínua de desenvolvimento de 0-days para escalonamento no Windows - Esses exploits, uma vez desenvolvidos, podem ser reutilizados por qualquer grupo de ransomware com acesso ao mercado underground - O padrão estabelece um modelo de "exploit-as-a-service" que pode ser aplicado em ataques contra empresas brasileiras **Setores em risco:** - PMEs brasileiras de [[manufacturing|manufatura]] e serviços, sem equipes de segurança dedicadas, são vulneráveis ao perfil de ataque do Nokoyawa - O [[healthcare|setor de saúde]] brasileiro, com sistemas legados e manutenção irregular de patches, apresenta risco elevado ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Nokoyawa Ransomware (TLP:GREEN) > **Artefatos no host:** > Arquivos com extensão .NOKOYAWA em diretórios afetados > Arquivo NOKOYAWA_readme.txt em múltiplos diretórios > PipeMagic backdoor em diretórios temporários > > **Comportamento CLFS suspeito:** > Acesso e modificação incomum a arquivos de log CLFS (.blf, .regtrans-ms) > Processo de baixo privilégio criando/modificando estruturas CLFS de sistema > > **Rede:** > Cobalt Strike beacon com comunicação HTTP/HTTPS periódica > PipeMagic utilizando named pipes para comunicação C2 > > **Fonte:** Kaspersky GReAT · Microsoft Security · CISA **Mitigações recomendadas:** - Aplicar imediatamente o patch MS23-April (KB5025228) para CVE-2023-28252 - Implementar [[m1051-update-software|M1051]] com processo de patch em 30 dias para vulnerabilidades exploradas - Monitorar via [[ds0027-driver|DS0027]] acesso incomum ao driver CLFS por processos de usuário - Usar [[m1057-data-backup|M1057]] com backups imutáveis offline para resistir a criptografia - Implementar [[m1038-execution-prevention|M1038]] para bloquear execução de ferramentas não autorizadas ## Referências - [1](https://securelist.com/nokoyawa-ransomware-exploits-windows-clfs-zero-day/109707/) Kaspersky Securelist - Nokoyawa Ransomware Exploits Windows CLFS Zero-Day (2023) - [2](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252) Microsoft MSRC - CVE-2023-28252 Advisory (2023) - [3](https://www.bleepingcomputer.com/news/security/nokoyawa-ransomware-exploits-windows-zero-day-in-attacks/) BleepingComputer - Nokoyawa Exploits Windows Zero-Day (2023) - [4](https://malpedia.caad.fkie.fraunhofer.de/details/win.nokoyawa) Malpedia - Nokoyawa Entry (2023) - [5](https://attack.mitre.org/groups/G1040/) MITRE ATT&CK - Nokoyawa Group Profile (2023) - [6](https://www.trellix.com/en-us/about/newsroom/stories/research/nokoyawa-ransomware-analysis.html) Trellix - Nokoyawa Ransomware Technical Analysis (2022)