Knight ランサムウェアが Cyclops に新たなペイントを与える
Cyclops ランサムウェアはブランド名が変更され、現在は Knight ランサムウェアという名前になっています。このマルウェアの分類は、ファイルを暗号化し、その後それらのファイルを復号化するために身代金を要求することを目的として設計されています。
Knight ランサムウェア サンプルをテスト システムで実行すると、ファイル暗号化のプロセスが開始され、元のファイル名に「.knight_l」拡張子が追加されました。たとえば、最初に「1.jpg」というラベルが付けられていたファイルは「1.jpg.knight_l」に変換され、「2.png」は「2.png.knight_l」というように変換されます。さらに、「How To Restore Your Files.txt」というタイトルの身代金メモが、システム上の暗号化されたファイルを含む各フォルダーに置かれました。
Knight の背後にあるグループはこれをサービスとしてのランサムウェアとして運用しており、これらの脅威アクターは情報を盗むように設計されたマルウェアも提供していることに注意することが重要です。したがって、これらのランサムウェア攻撃には二重恐喝コンポーネントが関与する可能性があります。私たちが調べた亜種では、そのような戦略の利用について言及していました。
Knight ランサムウェアに関連付けられた身代金メモは、組織のファイルとドキュメントが暗号化されたことを被害者に通知します。メッセージによると、データを回復する唯一の実行可能な手段は、攻撃者に支払いを行うことです。指定された身代金の額はビットコイン暗号通貨の形式で 5000 米ドルであり、この要求には交渉の余地がありません。
支払いが完了すると、被害者はサイバー犯罪者と連絡を取り、取引の証拠を提出するよう指示されます。さらに、メッセージには、4 日以内に身代金要求に応じられなかった場合、侵害されたシステムから盗まれたビジネス関連情報が販売されることになるという警告文が含まれています。
ナイトの身代金メモはビットコインで5000ドルを要求
Knight の身代金メモの全文は次のとおりです。
All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .
The recovery is only possible with our help.
US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.
Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)
After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.
I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.
How to buy the BTC?
hxxps://www.binance.com/en/how-to-buy/bitcoin
hxxps://www.coinbase.com/how-to-buy/bitcoin
Note:
Your data are uploaded to our servers before being encrypted,
Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).
If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.
ID: -
ランサムウェア攻撃者がマルウェアのブランド名を変更するのはなぜですか?
ランサムウェア攻撃者は、次のような戦略的な理由からマルウェアのブランドを変更することがよくあります。
- 検出の回避: セキュリティ研究者とウイルス対策ソフトウェアは、既知のランサムウェア株を特定して無力化するために常に取り組んでいます。ブランドを変更することで、ランサムウェア攻撃者は新しい名前で活動を一時的に隠すことで検出を回避できます。これにより、セキュリティのギャップを悪用し、セキュリティ対策が追いつく前にシステムに侵入する時間を稼ぐことができます。
- 新しいアプローチ: ブランド変更により、ランサムウェア攻撃者に新しい戦術、技術、手順 (TTP) を採用する機会が与えられます。暗号化方法や支払いメカニズムが変更されたり、新しい攻撃ベクトルが導入されたりする可能性があります。この斬新なアプローチにより、被害者やセキュリティ専門家が不意を突かれ、攻撃が成功する可能性が高まります。
- 悪名を避ける: 悪名高いランサムウェアは、法執行機関、セキュリティ会社、メディアからの注目を集めることがよくあります。ブランドを変更することで、ランサムウェア運営者は以前の攻撃に伴う悪評を払拭し、白紙の状態から新たにスタートできるようになります。
- 誤った方向性: ランサムウェア攻撃者は、新しい名前を使用することで、捜査官やサイバーセキュリティの専門家を野鳥追跡に導き、リソースを実際の活動の追跡から逸らすことができます。この誤った方向により、防御側が攻撃を特定のグループに正確に帰すことが難しくなる可能性があります。
- 混乱と混乱: 新しい名前は、サイバーセキュリティ コミュニティで混乱を招く可能性があります。アナリストは当初、ブランド変更されたランサムウェアをまったく新しい脅威として扱い、包括的な対応が遅れ、攻撃者に損害を与える時間を与える可能性があります。
- 信頼の再構築: 特定のランサムウェアが、支払い後も復号キーを提供しないという評判を集めている場合、ブランドを変更することで、攻撃者がより信頼できるように見せることができます。被害者は、この「新しい」グループが身代金取引の終了を尊重すると信じているかもしれません。
- ターゲットの変化: ランサムウェア攻撃者は、ある業界または分野から別の業界または分野に焦点を移すことを決定する可能性があります。リブランディングは、希望するターゲット層に合わせた新しいイメージを作成するのに役立ちます。
