Knight Ransomware gir Cyclops et friskt lag med maling

Cyclops ransomware har gjennomgått en rebranding og går nå under navnet Knight ransomware. Denne klassifiseringen av skadelig programvare er utformet med den hensikt å kryptere filer og deretter kreve løsepenger for dekryptering av disse filene.

Etter å ha kjørt en Knight løsepengevareprøve på vårt testsystem, startet den prosessen med å kryptere filer og la til en ".knight_l"-utvidelse til deres originale filnavn. For eksempel vil en fil opprinnelig merket som "1.jpg" bli transformert til "1.jpg.knight_l," og "2.png" vil bli "2.png.knight_l," og så videre. Videre ble en løsepengenotat med tittelen "How To Restore Your Files.txt" plassert i hver mappe som inneholder krypterte filer på systemet.

Det er viktig å merke seg at gruppen bak Knight driver det som en Ransomware-as-a-Service, og disse trusselaktørene tilbyr også skadevare utviklet for å stjele informasjon. Følgelig er det et potensial for at disse løsepengevareangrepene involverer en dobbel utpressingskomponent. Varianten vi undersøkte nevnte bruken av slike strategier.

Løseseddelen knyttet til Knight løsepengevare varsler offeret om at deres organisasjonsfiler og dokumenter er kryptert. I følge meldingen er den eneste mulige måten å gjenopprette data på ved å betale til angriperne. Det angitte løsepengebeløpet er 5000 USD i form av Bitcoin kryptovaluta, og dette kravet er ikke omsettelig.

Når betalingen er fullført, blir offeret bedt om å etablere kontakt med nettkriminelle og fremlegge bevis for transaksjonen. Videre inneholder meldingen en advarsel om at manglende oppfyllelse av løsepengekravene innen en fire-dagers periode vil resultere i salg av forretningsrelatert informasjon stjålet fra det kompromitterte systemet.

Knight Ransom Note krever $5000 i Bitcoin

Den fullstendige teksten til Ridderens løsepenger lyder som følger:

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

Hvorfor rebrander ransomware-aktører skadelig programvare?

Ransomware-aktører rebrander ofte sin skadevare av flere strategiske årsaker:

• Evasion of Detection: Sikkerhetsforskere og antivirusprogramvare jobber kontinuerlig med å identifisere og nøytralisere kjente løsepengevarestammer. Ved å endre merkenavn kan løsepengevareaktører unngå oppdagelse ved midlertidig å maskere aktiviteten deres under et nytt navn. Dette lar dem utnytte sikkerhetshull og kjøpe tid til å infiltrere systemer før sikkerhetstiltak innhenter.
• Fresh Approach: Rebranding gir ransomware-aktører en mulighet til å ta i bruk nye taktikker, teknikker og prosedyrer (TTP). De kan endre krypteringsmetoder, betalingsmekanismer eller til og med introdusere nye angrepsvektorer. Denne ferske tilnærmingen kan fange ofre og sikkerhetspersonell på vakt, og øke sannsynligheten for vellykkede angrep.
• Unngå beryktethet: Beryktede løsepengevarestammer tiltrekker seg ofte mer oppmerksomhet fra rettshåndhevelse, sikkerhetsselskaper og medier. Rebranding gjør at løsepengevareoperatører kan miste beryktetheten knyttet til deres tidligere angrep og starte på nytt med et rent ark.
• Feilveiledning: Ved å bruke et nytt navn kan løsepengevareaktører lede etterforskere og cybersikkerhetseksperter på villspor, og lede ressurser bort fra å spore deres faktiske operasjoner. Denne feilretningen kan gjøre det vanskeligere for forsvarere å nøyaktig tilskrive angrep til spesifikke grupper.
• Forvirring og uorden: Et nytt navn kan føre til forvirring i nettsikkerhetssamfunnet. Analytikere kan i utgangspunktet behandle den omdøpte løsepengevaren som en helt ny trussel, som forsinker en omfattende respons og gir angriperne tid til å påføre skade.
• Gjenoppbygge tillit: Hvis en bestemt løsepengevare-stamme har fått et rykte for å ikke gi dekrypteringsnøkler selv etter betaling, kan rebranding hjelpe angriperne til å fremstå som mer pålitelige. Ofre kan tro at denne "nye" gruppen vil respektere slutten på løsepengeavtalen.
• Endring av mål: Ransomware-aktører kan bestemme seg for å flytte fokus fra en bransje eller sektor til en annen. Rebranding kan hjelpe til med å skape et nytt bilde som bedre samsvarer med ønsket målgruppe.