Knight Ransomware suteikia Cyclops šviežių dažų

„Cyclops“ išpirkos reikalaujančios programos prekės ženklas buvo pakeistas ir dabar vadinasi „Knight ransomware“. Ši kenkėjiškų programų klasifikacija sukurta siekiant užšifruoti failus ir vėliau reikalauti išpirkos už šių failų iššifravimą.

Paleidus „Knight“ išpirkos reikalaujančios programos pavyzdį mūsų testavimo sistemoje, ji inicijavo failų šifravimo procesą ir prie pradinių failų pavadinimų pridėjo plėtinį „.knight_l“. Pavyzdžiui, failas, iš pradžių pažymėtas kaip „1.jpg“, būtų paverstas „1.jpg.knight_l“, o „2.png“ taptų „2.png.knight_l“ ir pan. Be to, į kiekvieną aplanką, kuriame yra užšifruoti sistemos failai, buvo įdėtas išpirkos užrašas pavadinimu „Kaip atkurti failus.txt“.

Svarbu pažymėti, kad „Knight“ grupė ją naudoja kaip „Ransomware-as-a-Service“, o šie grėsmių subjektai taip pat teikia kenkėjiškas programas, skirtas informacijai pavogti. Todėl šios išpirkos reikalaujančios programos atakos gali apimti dvigubą turto prievartavimo komponentą. Mūsų nagrinėtame variante buvo paminėtas tokių strategijų panaudojimas.

Išpirkos raštas, susijęs su Knight ransomware, praneša aukai, kad jų organizaciniai failai ir dokumentai buvo užšifruoti. Pranešime teigiama, kad vienintelis įmanomas duomenų atkūrimo būdas yra mokėjimas užpuolikams. Nurodyta išpirkos suma yra 5000 USD Bitcoin kriptovaliutos pavidalu ir ši paklausa yra nediskutuojama.

Atlikus mokėjimą, aukai nurodoma užmegzti ryšį su kibernetiniais nusikaltėliais ir pateikti sandorio įrodymus. Be to, pranešime yra įspėjamasis teiginys, kad jei per keturias dienas nebus įvykdyti išpirkos reikalavimai, bus parduota su verslu susijusi informacija, pavogta iš pažeistos sistemos.

„Knight Ransom Note“ reikalauja 5000 USD Bitcoin

Visas riterio išpirkos rašto tekstas skamba taip:

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

Kodėl „Ransomware“ aktoriai keičia savo kenkėjiškų programų prekės ženklą?

Ransomware aktoriai dažnai keičia savo kenkėjiškų programų prekės ženklą dėl kelių strateginių priežasčių:

• Aptikimo vengimas: saugumo tyrinėtojai ir antivirusinė programinė įranga nuolat dirba, kad nustatytų ir neutralizuotų žinomas išpirkos reikalaujančias programas. Keisdami prekės ženklą, išpirkos reikalaujančios programos dalyviai gali išvengti aptikimo laikinai užmaskuodami savo veiklą nauju pavadinimu. Tai leidžia jiems išnaudoti saugumo spragas ir laimėti laiko įsiskverbti į sistemas, kol apsaugos priemonės nepasivys.
• Naujas požiūris: prekės ženklo keitimas suteikia išpirkos reikalaujantiems naudotojams galimybę pritaikyti naujas taktikas, metodus ir procedūras (TTP). Jie gali pakeisti šifravimo metodus, mokėjimo mechanizmus ar net įdiegti naujus atakos vektorius. Šis naujas požiūris gali sugauti aukas ir saugumo specialistus, padidindamas sėkmingų išpuolių tikimybę.
• Išvengti žinomumo: Liūdnai pagarsėjusios išpirkos reikalaujančios programinės įrangos padermės dažnai pritraukia daugiau teisėsaugos, saugos įmonių ir žiniasklaidos priemonių dėmesio. Prekės ženklo keitimas leidžia išpirkos reikalaujančių programų operatoriams atsikratyti žinomumo, susijusio su ankstesnėmis atakomis, ir pradėti iš naujo nuo švaraus lapo.
• Klaidinga kryptis: naudodami naują pavadinimą, išpirkos reikalaujančios programinės įrangos aktoriai gali vesti tyrėjus ir kibernetinio saugumo ekspertus į laukinių žąsų gaudynes, nukreipdami išteklius nuo savo faktinių operacijų stebėjimo. Dėl šios klaidingos krypties gynėjams gali būti sunkiau tiksliai priskirti atakas konkrečioms grupėms.
• Sumišimas ir netvarka: naujas pavadinimas gali sukelti painiavą kibernetinio saugumo bendruomenėje. Analitikai iš pradžių gali traktuoti pakeistą išpirkos reikalaujančią programinę įrangą kaip visiškai naują grėsmę, atidėliojančią visapusišką atsaką ir suteikiančią užpuolikams laiko padaryti žalą.
• Pasitikėjimo atkūrimas: jei tam tikra išpirkos reikalaujančių programų atmaina užsitarnavo reputaciją dėl to, kad net ir po apmokėjimo nepateikė iššifravimo raktų, prekės ženklo keitimas gali padėti užpuolikams atrodyti patikimesniems. Aukos gali manyti, kad ši „nauja“ grupė pagerbs jų išpirkos sutarties pabaigą.
• Tikslų keitimas: Ransomware veikėjai gali nuspręsti perkelti savo dėmesį iš vienos pramonės ar sektoriaus į kitą. Prekės ženklo keitimas gali padėti sukurti naują įvaizdį, kuris geriau atitiktų norimą tikslinę auditoriją.