A Knight Ransomware friss festékréteget kölcsönöz Cyclopsnak

A Cyclops ransomware márkaváltáson ment keresztül, és most a Knight ransomware nevet viseli. A rosszindulatú programoknak ezt a besorolását azzal a szándékkal tervezték, hogy titkosítsa a fájlokat, és ezt követően váltságdíjat követeljen a fájlok visszafejtéséért.

Amikor tesztelőrendszerünkön egy Knight ransomware mintát futtatott, az elindította a fájlok titkosításának folyamatát, és „.knight_l” kiterjesztést adott az eredeti fájlnevekhez. Például egy eredetileg "1.jpg" címkével ellátott fájl "1.jpg.knight_l"-re, a "2.png" pedig "2.png.knight_l"-re és így tovább. Ezenkívül a rendszer minden titkosított fájljait tartalmazó mappába egy váltságdíj-jegyzetet helyeztek el "How To Restore Your Files.txt" címmel.

Fontos megjegyezni, hogy a Knight mögött álló csoport Ransomware-as-a-Serviceként működteti, és ezek a fenyegető szereplők információlopásra tervezett rosszindulatú programokat is kínálnak. Következésképpen előfordulhat, hogy ezek a ransomware támadások kettős zsaroló összetevőt tartalmaznak. Az általunk vizsgált változat ilyen stratégiák hasznosítását említette.

A Knight ransomware-hez kapcsolódó váltságdíj értesíti az áldozatot, hogy szervezeti fájljait és dokumentumait titkosították. Az üzenet szerint az adatok helyreállításának egyetlen lehetséges módja a támadóknak történő fizetés. A megadott váltságdíj összege 5000 USD Bitcoin kriptovaluta formájában, és ez az igény nem alkuképes.

A fizetés befejezése után az áldozatot utasítják, hogy vegye fel a kapcsolatot a számítógépes bûnözõkkel, és nyújtson be bizonyítékot a tranzakcióról. Az üzenet továbbá figyelmeztető jelzést is tartalmaz, miszerint a váltságdíj követeléseinek négy napon belüli teljesítésének elmulasztása a feltört rendszerből ellopott, üzleti jellegű információk értékesítését vonja maga után.

A Knight Ransom Note 5000 dollárt igényel Bitcoinban

A lovagi váltságlevél teljes szövege a következő:

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

Miért nevezik át a Ransomware-szereplők rosszindulatú programjaikat?

A zsarolóprogramok szereplői gyakran több stratégiai okból átkeresztik rosszindulatú programjaikat:

• Az észlelés elkerülése: A biztonsági kutatók és a víruskereső szoftverek folyamatosan azon dolgoznak, hogy azonosítsák és semlegesítsék az ismert ransomware-törzseket. A márkaváltással a zsarolóvírus-szereplők kikerülhetik az észlelést azáltal, hogy tevékenységüket ideiglenesen új név alá rejtik. Ez lehetővé teszi számukra, hogy kihasználják a biztonsági hiányosságokat, és időt nyerjenek a rendszerekbe való behatolásra, mielőtt a biztonsági intézkedések utolérik.
• Friss megközelítés: A márkaváltás lehetőséget biztosít a zsarolóvírus-szereplőknek új taktikák, technikák és eljárások (TTP-k) elfogadására. Módosíthatják a titkosítási módszereket, fizetési mechanizmusokat, vagy akár új támadási vektorokat vezetnek be. Ez az új megközelítés váratlanul elkaphatja az áldozatokat és a biztonsági szakembereket, növelve a sikeres támadások valószínűségét.
• A hírhedtség elkerülése: A hírhedt ransomware-törzsek gyakran több figyelmet vonzanak a rendfenntartó szervek, a biztonsági cégek és a médiák részéről. A márkaváltás lehetővé teszi a zsarolóvírus-kezelők számára, hogy megszabaduljanak a korábbi támadásaikkal kapcsolatos ismertségüktől, és tiszta lappal kezdjék újra.
• Félrevezetés: Az új név használatával a zsarolóvírus-szereplők vadvadászatba vezethetik a nyomozókat és a kiberbiztonsági szakértőket, elterelve az erőforrásokat tényleges műveleteik nyomon követésétől. Ez a félrevezetés megnehezítheti a védők számára a támadások pontos hozzárendelését meghatározott csoportokhoz.
• Zavar és zűrzavar: Egy új név zűrzavarhoz vezethet a kiberbiztonsági közösségben. Az elemzők kezdetben az átkeresztelt ransomware-t teljesen új fenyegetésként kezelhetik, ami késlelteti az átfogó választ, és időt ad a támadóknak a károk okozására.
• A bizalom újjáépítése: Ha egy bizonyos zsarolóvírus-törzs hírnevet szerzett azzal, hogy még fizetés után sem ad meg visszafejtési kulcsokat, a márkaváltás segíthet a támadók számára, hogy megbízhatóbbnak tűnjenek. Az áldozatok azt hihetik, hogy ez az "új" csoport tiszteletben tartja a váltságdíj-üzlet végét.
• Célok megváltoztatása: A Ransomware szereplői dönthetnek úgy, hogy egyik iparágról vagy ágazatról a másikra helyezik át a hangsúlyt. A márkaváltás segíthet új imázs létrehozásában, amely jobban illeszkedik a kívánt célközönséghez.