# Nokoyawa Ransomware > [!high] Ransomware com Zero-Day CLFS - CVE-2023-28252 e 5 Exploits de Kernel > Nokoyawa foi um ransomware identificado em fevereiro de 2022, notório por explorar sistematicamente vulnerabilidades no Common Log File System (CLFS) do Windows para escalonamento de privilégios. Em abril de 2023, a Microsoft corrigiu o CVE-2023-28252, um zero-day CLFS explorado ativamente pelo Nokoyawa - marcando a quinta vulnerabilidade CLFS distinta usada pelo grupo desde junho de 2022. ## Visão Geral Nokoyawa é um ransomware identificado pela primeira vez em fevereiro de 2022, vinculado por pesquisadores da Kaspersky e outros à linhagem JSWorm - grupo que passou por múltiplos rebrandings incluindo Nemty, Nefilim, Karma e Gangnam Style. O que torna o Nokoyawa excepcional no ecossistema de ransomware é seu uso sistemático de exploits de kernel para escalonamento de privilégios via o Common Log File System (CLFS) do Windows. Entre junho de 2022 e abril de 2023, o grupo por trás do Nokoyawa explorou pelo menos cinco vulnerabilidades distintas no CLFS (CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252, e outras), usando exploits desenvolvidos aparentemente pelo mesmo autor ou equipe. O Kaspersky identificou que os exploits CLFS do Nokoyawa compartilham características de desenvolvimento com exploits de vulnerabilidades Win32k usados por grupos como [[g0032-lazarus-group|Lazarus Group]] - embora a relação não esteja completamente estabelecida. Em abril de 2023, a Microsoft corrigiu [[cve-2023-28252|CVE-2023-28252]], uma falha de elevação de privilégio no CLFS descoberta sendo explorada ativamente pelo Nokoyawa. A vulnerabilidade permitia que um invasor com acesso local obtivesse privilégios SYSTEM via manipulação do arquivo de log base do CLFS. Esta foi a vulnerabilidade CLFS mais sofisticada documentada até então, com exploit funcional em todas as versões do Windows 10 e Windows 11 testadas. Os alvos do Nokoyawa incluem organizações nos setores de [[retail|varejo]], [[energy|energia]], [[manufacturing|manufatura]] e [[healthcare|saúde]], com ataques documentados na América do Norte, Europa e Ásia. O grupo prática dupla extorsão - criptografia combinada com ameaça de vazamento dos dados roubados. > [!latam] Relevância para o Brasil > **Nokoyawa** é relevante para o Brasil principalmente pelo seu modelo de exploração sistemática de **zero-days no CLFS do Windows** — as cinco vulnerabilidades CLFS exploradas afetam todas as versões do Windows 10 e 11, que são os sistemas operacionais dominantes em ambientes corporativos brasileiros. Organizações que não mantêm o **Patch Tuesday** em dia são vulneráveis à mesma cadeia de escalada de privilégios para SYSTEM. O modelo de **dupla extorsão** aplicado a setores de varejo, energia e saúde é diretamente replicável contra alvos LATAM. ## Técnica Característica: Exploits CLFS O Common Log File System (CLFS) é um subsistema de log de alto desempenho do Windows usado por aplicações como Hyper-V, SQL Server e transações NTFS. Vulnerabilidades no CLFS permitem elevação de privilégio local de qualquer usuário para SYSTEM - tornando-o altamente valioso para ransomware que precisa de privilégios elevados para criptografar todos os arquivos do sistema. ```mermaid graph TB A["🔓 Acesso Inicial<br/>Credencial comprometida<br/>ou phishing"] --> B["👤 Usuário comum<br/>Sem privilégios admin<br/>no sistema"] B --> C["💥 Exploit CLFS<br/>CVE-2023-28252<br/>manipulação log base"] C --> D["⬆️ SYSTEM<br/>Escalada completa<br/>privilégios máximos"] D --> E["🔑 PIPEMAGIC<br/>Backdoor implantado<br/>com privilégios SYSTEM"] E --> F["📤 Exfiltração<br/>Dados críticos antes<br/>da criptografia"] F --> G["🔒 Criptografia<br/>Nokoyawa encryptor<br/>extensão .nokoyawa"] ``` *CVEs: [[cve-2023-28252|CVE-2023-28252]] - Backdoor: Pipemagic* ## Histórico de Exploits CLFS ```mermaid timeline title Nokoyawa - Exploits CLFS (2022-2023) 2022-04 : CVE-2022-24521 : Primeiro exploit CLFS : Patch Tuesday Abril 2022 2022-09 : CVE-2022-37969 : Segundo exploit CLFS : Zero-day explorado ativamente 2023-02 : CVE-2023-23376 : Terceiro exploit CLFS : Corrigido Fev 2023 2023-04 : CVE-2023-28252 : Quinto exploit CLFS : Zero-day - mais sofisticado : Kaspersky descobre exploração ativa ``` ## TTPs MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1068 | Exploitation for Privilege Escalation | Escalonamento | CVE-2023-28252 CLFS EoP para SYSTEM | | T1486 | Data Encrypted for Impact | Impacto | Criptografia com extensão .nokoyawa | | T1059.003 | Windows Command Shell | Execução | Execução de comandos via cmd.exe | | T1082 | System Information Discovery | Reconhecimento | Coleta de informações do sistema alvo | | T1083 | File and Directory Discovery | Reconhecimento | Enumeração para seleção de arquivos | | T1070.001 | Clear Windows Event Logs | Evasão | Limpeza de logs de eventos do Windows | | T1055 | Process Injection | Evasão | Injeção em processos legítimos | | T1105 | Ingress Tool Transfer | C2 | Download do backdoor Pipemagic | ## Linhagem JSWorm O Nokoyawa pertence a uma linhagem de grupos de ransomware que compartilham código e infraestrutura com o JSWorm original: - **JSWorm** (2019) - ransomware original, código C++ - **Nemty** (2019) - fork com painel de controle - **Nefilim** (2020) - versão sem painel, foco em grandes empresas - **Karma** (2021) - rebranding com site de vazamento - **Nokoyawa** (2022) - versão com exploits CLFS customizados Esta genealogia indica um grupo com capacidade de desenvolvimento consistente ao longo de anos, não apenas um afiliado usando ferramenta de terceiro. ## Detecção e Defesa **Indicadores comportamentais:** - Processo acessando e modificando arquivos `.blf` ou `.clfs` do Windows em diretórios de sistema - Criação de arquivos com extensão `.nokoyawa` em múltiplos diretórios - Executável desconhecido obtendo privilégios SYSTEM sem interação do usuário - Evento Windows 4625 (falha de logon) seguido de evento 4672 (privilégios especiais) em sequência incomum - Limpeza de Event Logs (Event ID 1102 - "The audit log was cleared") pouco antes da criptografia **Mitigações prioritárias:** - Aplicar todas as atualizações Patch Tuesday imediatamente - múltiplos CLFS CVEs foram zero-days - [[m1049-antivirus-antimalware|EDR]] com detecção de exploração de kernel e escalada de privilégios - Backups offline testados - o Nokoyawa não exclui cópias shadow mas criptografa todos os arquivos acessíveis - [[m1026-privileged-account-management|Gerenciamento de contas privilegiadas]] - minimiza o impacto mesmo quando SYSTEM é obtido - Monitoramento de acesso a arquivos de log CLFS do Windows por processos não-sistema ## Referências - [1](https://securelist.com/nokoyawa-ransomware-with-windows-zero-day/109937/) Kaspersky Securelist - Nokoyawa Ransomware with Windows Zero-Day (2023) - [2](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252) Microsoft MSRC - CVE-2023-28252 Advisory (2023) - [3](https://www.trendmicro.com/en_us/research/22/b/nokoyawa-ransomware-possibly-related-to-hive.html) Trend Micro - Nokoyawa Ransomware Analysis (2022) - [4](https://attack.mitre.org/software/S1100/) MITRE ATT&CK - Nokoyawa S1100 - [5](https://www.bleepingcomputer.com/news/security/windows-zero-day-exploited-in-nokoyawa-ransomware-attacks/) BleepingComputer - Windows Zero-Day Exploited in Nokoyawa Attacks (2023)