Knight Ransomware donne au cyclope une nouvelle couche de peinture

ransomware

Le ransomware Cyclops a subi un changement de marque et porte désormais le nom de ransomware Knight. Cette classification des logiciels malveillants est conçue dans le but de crypter les fichiers et d'exiger par la suite des rançons pour le décryptage de ces fichiers.

Lors de l'exécution d'un échantillon de rançongiciel Knight sur notre système de test, il a lancé le processus de cryptage des fichiers et ajouté une extension ".knight_l" à leurs noms de fichiers d'origine. Par exemple, un fichier initialement étiqueté "1.jpg" serait transformé en "1.jpg.knight_l", et "2.png" deviendrait "2.png.knight_l", et ainsi de suite. De plus, une note de rançon intitulée "Comment restaurer vos fichiers.txt" a été placée dans chaque dossier contenant des fichiers cryptés sur le système.

Il est important de noter que le groupe derrière Knight l'exploite en tant que Ransomware-as-a-Service, et ces acteurs de la menace fournissent également des logiciels malveillants conçus pour voler des informations. Par conséquent, il est possible que ces attaques de rançongiciels impliquent un composant à double extorsion. La variante que nous avons examinée mentionnait l'utilisation de telles stratégies.

La note de rançon associée au rançongiciel Knight informe la victime que ses fichiers et documents organisationnels ont été cryptés. Selon le message, le seul moyen possible de récupérer des données consiste à effectuer un paiement aux attaquants. Le montant de la rançon spécifié est de 5000 USD sous forme de crypto-monnaie Bitcoin, et cette demande est non négociable.

Une fois le paiement effectué, la victime est invitée à entrer en contact avec les cybercriminels et à fournir la preuve de la transaction. En outre, le message contient une mise en garde selon laquelle le non-respect des demandes de rançon dans un délai de quatre jours entraînera la vente d'informations commerciales volées dans le système compromis.

Knight Ransom Note exige 5000 $ en Bitcoin

Le texte complet de la note de rançon Knight se lit comme suit :

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

Pourquoi les acteurs du ransomware renomment-ils leurs logiciels malveillants ?

Les acteurs des ransomwares rebaptisent souvent leurs malwares pour plusieurs raisons stratégiques :

  • Evasion of Detection : les chercheurs en sécurité et les logiciels antivirus travaillent constamment pour identifier et neutraliser les souches connues de ransomwares. En changeant de marque, les acteurs du ransomware peuvent échapper à la détection en masquant temporairement leur activité sous un nouveau nom. Cela leur permet d'exploiter les failles de sécurité et de gagner du temps pour infiltrer les systèmes avant que les mesures de sécurité ne rattrapent leur retard.
  • Nouvelle approche : le changement de marque offre aux acteurs du ransomware la possibilité d'adopter de nouvelles tactiques, techniques et procédures (TTP). Ils peuvent modifier les méthodes de cryptage, les mécanismes de paiement ou même introduire de nouveaux vecteurs d'attaque. Cette nouvelle approche peut prendre les victimes et les professionnels de la sécurité au dépourvu, augmentant ainsi la probabilité d'attaques réussies.
  • Éviter la notoriété : les souches de rançongiciels infâmes attirent souvent davantage l'attention des forces de l'ordre, des sociétés de sécurité et des médias. Le changement de marque permet aux opérateurs de rançongiciels de se débarrasser de la notoriété associée à leurs attaques précédentes et de repartir à zéro.
  • Mauvaise direction : en utilisant un nouveau nom, les acteurs du ransomware peuvent mener les enquêteurs et les experts en cybersécurité dans une chasse aux oies sauvages, détournant les ressources du suivi de leurs opérations réelles. Cette mauvaise direction peut rendre plus difficile pour les défenseurs d'attribuer avec précision les attaques à des groupes spécifiques.
  • Confusion et désarroi : un nouveau nom peut semer la confusion dans la communauté de la cybersécurité. Les analystes peuvent initialement traiter le rançongiciel renommé comme une menace entièrement nouvelle, retardant une réponse complète et donnant aux attaquants le temps d'infliger des dégâts.
  • Reconstruire la confiance : si une souche particulière de ransomware a acquis la réputation de ne pas fournir de clés de déchiffrement même après le paiement, le changement de marque peut aider les attaquants à paraître plus dignes de confiance. Les victimes peuvent croire que ce "nouveau" groupe honorera leur part de l'accord de rançon.
  • Cibles changeantes : les acteurs du ransomware peuvent décider de déplacer leur attention d'une industrie ou d'un secteur à un autre. Le rebranding peut aider à créer une nouvelle image qui correspond mieux au public cible souhaité.

Par Zaib
August 16, 2023
Ransomware
Français
August 16, 2023
Ransomware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.