Knight Ransomware le da a Cyclops una nueva capa de pintura

ransomware

El ransomware Cyclops ha sufrido un cambio de marca y ahora se conoce con el nombre de ransomware Knight. Esta clasificación de malware está diseñada con la intención de cifrar archivos y, posteriormente, exigir rescates por el descifrado de esos archivos.

Al ejecutar una muestra de ransomware Knight en nuestro sistema de prueba, inició el proceso de encriptación de archivos y agregó una extensión ".knight_l" a sus nombres de archivo originales. Por ejemplo, un archivo inicialmente etiquetado como "1.jpg" se transformaría en "1.jpg.knight_l", y "2.png" se convertiría en "2.png.knight_l", y así sucesivamente. Además, se colocó una nota de rescate titulada "Cómo restaurar sus archivos.txt" en cada carpeta que contenía archivos cifrados en el sistema.

Es importante tener en cuenta que el grupo detrás de Knight lo opera como un Ransomware-as-a-Service, y estos actores de amenazas también proporcionan malware diseñado para robar información. En consecuencia, existe la posibilidad de que estos ataques de ransomware involucren un componente de doble extorsión. La variante que examinamos mencionó la utilización de tales estrategias.

La nota de rescate asociada con el ransomware Knight notifica a la víctima que sus archivos y documentos organizacionales han sido encriptados. Según el mensaje, el único medio factible de recuperación de datos es realizar un pago a los atacantes. El monto del rescate especificado es de 5000 USD en forma de criptomoneda Bitcoin, y esta demanda no es negociable.

Una vez que se completa el pago, se le indica a la víctima que establezca contacto con los ciberdelincuentes y proporcione evidencia de la transacción. Además, el mensaje contiene una declaración de advertencia de que el incumplimiento de las demandas de rescate dentro de un período de cuatro días resultará en la venta de información relacionada con el negocio robada del sistema comprometido.

Knight Ransom Note exige $ 5000 en Bitcoin

El texto completo de la nota de rescate de Knight dice lo siguiente:

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

¿Por qué los actores de ransomware cambian el nombre de su malware?

Los actores de ransomware a menudo cambian el nombre de su malware por varias razones estratégicas:

  • Evasión de la detección: los investigadores de seguridad y el software antivirus trabajan constantemente para identificar y neutralizar las cepas de ransomware conocidas. Al cambiar la marca, los actores de ransomware pueden evadir la detección enmascarando temporalmente su actividad con un nuevo nombre. Esto les permite aprovechar las brechas de seguridad y ganar tiempo para infiltrarse en los sistemas antes de que las medidas de seguridad se pongan al día.
  • Nuevo enfoque: el cambio de marca brinda a los actores de ransomware la oportunidad de adoptar nuevas tácticas, técnicas y procedimientos (TTP). Pueden cambiar los métodos de encriptación, los mecanismos de pago o incluso introducir nuevos vectores de ataque. Este nuevo enfoque puede tomar por sorpresa a las víctimas y a los profesionales de la seguridad, lo que aumenta la probabilidad de ataques exitosos.
  • Evitar la notoriedad: las cepas de ransomware infames a menudo atraen más la atención de las fuerzas del orden, las empresas de seguridad y los medios de comunicación. El cambio de marca permite a los operadores de ransomware deshacerse de la notoriedad asociada con sus ataques anteriores y comenzar de nuevo con una pizarra limpia.
  • Desvío: al usar un nuevo nombre, los actores de ransomware pueden llevar a los investigadores y expertos en seguridad cibernética a una búsqueda inútil, desviando los recursos del seguimiento de sus operaciones reales. Esta dirección errónea puede dificultar que los defensores atribuyan con precisión los ataques a grupos específicos.
  • Confusión y desorden: un nuevo nombre puede generar confusión en la comunidad de ciberseguridad. Los analistas pueden tratar inicialmente el ransomware renombrado como una amenaza completamente nueva, retrasando una respuesta integral y dando tiempo a los atacantes para infligir daño.
  • Reconstruir la confianza: si una variedad de ransomware en particular se ha ganado la reputación de no proporcionar claves de descifrado incluso después del pago, el cambio de marca puede ayudar a que los atacantes parezcan más confiables. Las víctimas pueden creer que este "nuevo" grupo cumplirá con su parte del acuerdo de rescate.
  • Cambio de objetivos: los actores de ransomware pueden decidir cambiar su enfoque de una industria o sector a otro. El cambio de marca puede ayudar a crear una nueva imagen que se alinee mejor con su público objetivo deseado.

En Zaib
August 16, 2023
Ransomware
Spanish
August 16, 2023
Ransomware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.