Το Knight Ransomware δίνει στον Κύκλωπα μια νέα στρώση χρώματος

Το Cyclops ransomware έχει υποστεί αλλαγή επωνυμίας και τώρα ονομάζεται Knight ransomware. Αυτή η ταξινόμηση κακόβουλου λογισμικού έχει σχεδιαστεί με σκοπό την κρυπτογράφηση αρχείων και στη συνέχεια την απαίτηση λύτρων για την αποκρυπτογράφηση αυτών των αρχείων.

Κατά την εκτέλεση ενός δείγματος ransomware Knight στο σύστημα δοκιμών μας, ξεκίνησε τη διαδικασία κρυπτογράφησης αρχείων και πρόσθεσε μια επέκταση ".knight_l" στα αρχικά ονόματα αρχείων τους. Για παράδειγμα, ένα αρχείο με την αρχική επισήμανση "1.jpg" θα μετατραπεί σε "1.jpg.knight_l" και το "2.png" θα γίνει "2.png.knight_l" και ούτω καθεξής. Επιπλέον, ένα σημείωμα λύτρων με τίτλο "How To Restore Your Files.txt" τοποθετήθηκε σε κάθε φάκελο που περιέχει κρυπτογραφημένα αρχεία στο σύστημα.

Είναι σημαντικό να σημειωθεί ότι η ομάδα πίσω από τον Knight το λειτουργεί ως Ransomware-as-a-Service και αυτοί οι παράγοντες απειλών παρέχουν επίσης κακόβουλο λογισμικό σχεδιασμένο για την κλοπή πληροφοριών. Κατά συνέπεια, υπάρχει πιθανότητα αυτές οι επιθέσεις ransomware να περιλαμβάνουν ένα στοιχείο διπλού εκβιασμού. Η παραλλαγή που εξετάσαμε ανέφερε τη χρήση τέτοιων στρατηγικών.

Το σημείωμα λύτρων που σχετίζεται με το Knight ransomware ειδοποιεί το θύμα ότι τα οργανωτικά του αρχεία και τα έγγραφά του έχουν κρυπτογραφηθεί. Σύμφωνα με το μήνυμα, ο μόνος εφικτός τρόπος ανάκτησης δεδομένων είναι η πληρωμή στους εισβολείς. Το καθορισμένο ποσό λύτρων είναι 5000 USD με τη μορφή κρυπτονομίσματος Bitcoin και αυτή η απαίτηση είναι αδιαπραγμάτευτη.

Μόλις ολοκληρωθεί η πληρωμή, το θύμα λαμβάνει οδηγίες να έλθει σε επαφή με τους εγκληματίες του κυβερνοχώρου και να προσκομίσει αποδεικτικά στοιχεία για τη συναλλαγή. Επιπλέον, το μήνυμα περιέχει μια προειδοποιητική δήλωση ότι η μη ικανοποίηση των απαιτήσεων για λύτρα εντός μιας τετραήμερης περιόδου θα έχει ως αποτέλεσμα την πώληση επιχειρηματικών πληροφοριών που έχουν κλαπεί από το παραβιασμένο σύστημα.

Το σημείωμα Knight Ransom απαιτεί 5000 $ σε Bitcoin

Το πλήρες κείμενο του σημειώματος για τα λύτρα του Ιππότη έχει ως εξής:

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

Γιατί οι ηθοποιοί του Ransomware μετονομάζουν το κακόβουλο λογισμικό τους;

Οι φορείς ransomware συχνά επαναλαμβάνουν το κακόβουλο λογισμικό τους για διάφορους στρατηγικούς λόγους:

• Evasion of Detection: Οι ερευνητές ασφαλείας και το λογισμικό προστασίας από ιούς εργάζονται συνεχώς για να εντοπίσουν και να εξουδετερώσουν γνωστά στελέχη ransomware. Με την αλλαγή επωνυμίας, οι φορείς ransomware μπορούν να αποφύγουν τον εντοπισμό κρύβοντας προσωρινά τη δραστηριότητά τους με ένα νέο όνομα. Αυτό τους επιτρέπει να εκμεταλλεύονται τα κενά ασφαλείας και να κερδίζουν χρόνο για να διεισδύσουν στα συστήματα πριν καλύψουν τα μέτρα ασφαλείας.
• Fresh Approach: Το Rebranding παρέχει στους φορείς ransomware την ευκαιρία να υιοθετήσουν νέες τακτικές, τεχνικές και διαδικασίες (TTP). Μπορεί να αλλάξουν μεθόδους κρυπτογράφησης, μηχανισμούς πληρωμής ή ακόμη και να εισαγάγουν νέους φορείς επίθεσης. Αυτή η νέα προσέγγιση μπορεί να αιχμαλωτίσει τα θύματα και τους επαγγελματίες ασφαλείας, αυξάνοντας την πιθανότητα επιτυχημένων επιθέσεων.
• Αποφυγή της φήμης: Τα περιβόητα στελέχη ransomware συχνά προσελκύουν περισσότερη προσοχή από τις αρχές επιβολής του νόμου, τις εταιρείες ασφαλείας και τα μέσα ενημέρωσης. Η αλλαγή επωνυμίας επιτρέπει στους χειριστές ransomware να απορρίψουν τη φήμη που σχετίζεται με τις προηγούμενες επιθέσεις τους και να ξεκινήσουν εκ νέου με καθαρό πλατό.
• Λάθος κατεύθυνση: Χρησιμοποιώντας ένα νέο όνομα, οι ηθοποιοί ransomware μπορούν να οδηγήσουν ερευνητές και ειδικούς στον κυβερνοχώρο σε μια καταδίωξη άγριας χήνας, εκτρέποντας τους πόρους μακριά από την παρακολούθηση των πραγματικών λειτουργιών τους. Αυτή η εσφαλμένη κατεύθυνση μπορεί να κάνει πιο δύσκολο για τους αμυντικούς να αποδίδουν με ακρίβεια επιθέσεις σε συγκεκριμένες ομάδες.
• Σύγχυση και αταξία: Ένα νέο όνομα μπορεί να οδηγήσει σε σύγχυση στην κοινότητα της κυβερνοασφάλειας. Οι αναλυτές μπορούν αρχικά να αντιμετωπίσουν το ανανεωμένο ransomware ως μια εντελώς νέα απειλή, καθυστερώντας μια ολοκληρωμένη απάντηση και δίνοντας χρόνο στους επιτιθέμενους να προκαλέσουν ζημιά.
• Ανοικοδόμηση εμπιστοσύνης: Εάν ένα συγκεκριμένο στέλεχος ransomware έχει αποκτήσει τη φήμη ότι δεν παρέχει κλειδιά αποκρυπτογράφησης ακόμη και μετά την πληρωμή, η αλλαγή επωνυμίας μπορεί να βοηθήσει τους εισβολείς να φαίνονται πιο αξιόπιστοι. Τα θύματα μπορεί να πιστεύουν ότι αυτή η «νέα» ομάδα θα τιμήσει το τέλος της συμφωνίας για τα λύτρα.
• Αλλαγή στόχων: Οι φορείς ransomware μπορεί να αποφασίσουν να μετατοπίσουν την εστίασή τους από έναν κλάδο ή τομέα σε έναν άλλο. Το rebranding μπορεί να βοηθήσει στη δημιουργία μιας νέας εικόνας που ευθυγραμμίζεται καλύτερα με το επιθυμητό κοινό-στόχο.