Knight Ransomware giver Cyclops et frisk lag maling

Cyclops ransomware har gennemgået en rebranding og går nu under navnet Knight ransomware. Denne klassificering af malware er designet med den hensigt at kryptere filer og efterfølgende kræve løsesum for dekryptering af disse filer.

Efter at have kørt en Knight ransomware-prøve på vores testsystem, startede den processen med at kryptere filer og tilføjede en ".knight_l"-udvidelse til deres originale filnavne. For eksempel ville en fil oprindeligt mærket som "1.jpg" blive transformeret til "1.jpg.knight_l," og "2.png" ville blive "2.png.knight_l," og så videre. Desuden blev en løsesum note med titlen "How To Restore Your Files.txt" placeret i hver mappe, der indeholdt krypterede filer på systemet.

Det er vigtigt at bemærke, at gruppen bag Knight driver det som en Ransomware-as-a-Service, og disse trusselsaktører leverer også malware designet til at stjæle information. Følgelig er der et potentiale for, at disse ransomware-angreb involverer en dobbeltafpresningskomponent. Den variant, vi undersøgte, nævnte anvendelsen af sådanne strategier.

Løsesedlen forbundet med Knight ransomware giver offeret besked om, at deres organisatoriske filer og dokumenter er blevet krypteret. Ifølge meddelelsen er det eneste mulige middel til datagendannelse ved at betale til angriberne. Det angivne løsesum er 5000 USD i form af Bitcoin kryptovaluta, og dette krav er ikke til forhandling.

Når betalingen er gennemført, instrueres offeret om at etablere kontakt med de cyberkriminelle og fremlægge bevis for transaktionen. Endvidere indeholder meddelelsen en advarsel om, at manglende opfyldelse af krav om løsesum inden for en fire-dages periode vil resultere i salg af virksomhedsrelaterede oplysninger stjålet fra det kompromitterede system.

Knight Ransom Note kræver $5000 i Bitcoin

Den komplette tekst til Ridderens løsesum lyder som følger:

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

Hvorfor rebrander Ransomware-aktører deres malware?

Ransomware-aktører rebrander ofte deres malware af flere strategiske årsager:

• Undgåelse af opdagelse: Sikkerhedsforskere og antivirussoftware arbejder konstant på at identificere og neutralisere kendte ransomware-stammer. Ved rebranding kan ransomware-aktører unddrage sig opdagelse ved midlertidigt at maskere deres aktivitet under et nyt navn. Dette giver dem mulighed for at udnytte sikkerhedshuller og købe tid til at infiltrere systemer, før sikkerhedsforanstaltningerne indhenter.
• Fresh Approach: Rebranding giver ransomware-aktører mulighed for at vedtage nye taktikker, teknikker og procedurer (TTP'er). De kan ændre krypteringsmetoder, betalingsmekanismer eller endda introducere nye angrebsvektorer. Denne friske tilgang kan fange ofre og sikkerhedsprofessionelle på vagt, hvilket øger sandsynligheden for vellykkede angreb.
• Undgå berygtethed: Berygtede ransomware-stammer tiltrækker ofte mere opmærksomhed fra retshåndhævelse, sikkerhedsfirmaer og medier. Rebranding gør det muligt for ransomware-operatører at fjerne den berømmelse, der er forbundet med deres tidligere angreb, og starte forfra med en ren tavle.
• Vildledning: Ved at bruge et nyt navn kan ransomware-aktører lede efterforskere og cybersikkerhedseksperter på en vild jagt, og lede ressourcer væk fra at spore deres faktiske operationer. Denne fejlretning kan gøre det sværere for forsvarere nøjagtigt at tilskrive angreb til bestemte grupper.
• Forvirring og uorden: Et nyt navn kan føre til forvirring i cybersikkerhedssamfundet. Analytikere kan i første omgang behandle den rebrandede ransomware som en helt ny trussel, der forsinker et omfattende svar og giver angriberne tid til at påføre skade.
• Genopbygning af tillid: Hvis en bestemt ransomware-stamme har fået et ry for ikke at levere dekrypteringsnøgler, selv efter betaling, kan rebranding hjælpe angriberne til at fremstå mere troværdige. Ofre kan tro, at denne "nye" gruppe vil ære deres afslutning på løsesum-aftalen.
• Ændring af mål: Ransomware-aktører kan beslutte at flytte deres fokus fra en branche eller sektor til en anden. Rebranding kan hjælpe med at skabe et nyt image, der bedre stemmer overens med deres ønskede målgruppe.