Knight Ransomware geeft Cyclops een frisse verflaag

ransomware

De Cyclops-ransomware heeft een rebranding ondergaan en heet nu Knight-ransomware. Deze classificatie van malware is ontworpen met de bedoeling bestanden te versleutelen en vervolgens losgeld te eisen voor de ontsleuteling van die bestanden.

Bij het uitvoeren van een Knight-ransomware-voorbeeld op ons testsysteem, startte het het proces van het coderen van bestanden en voegde het een ".knight_l"-extensie toe aan hun oorspronkelijke bestandsnamen. Een bestand dat aanvankelijk was gelabeld als "1.jpg" zou bijvoorbeeld worden omgezet in "1.jpg.knight_l" en "2.png" zou "2.png.knight_l" worden, enzovoort. Bovendien werd er een losgeldbriefje met de titel "How To Restore Your Files.txt" in elke map met versleutelde bestanden op het systeem geplaatst.

Het is belangrijk op te merken dat de groep achter Knight het gebruikt als een Ransomware-as-a-Service, en deze bedreigingsactoren leveren ook malware die is ontworpen om informatie te stelen. Bijgevolg is er een mogelijkheid dat deze ransomware-aanvallen een dubbele afpersingscomponent bevatten. De door ons onderzochte variant noemde het gebruik van dergelijke strategieën.

De losgeldbrief die is gekoppeld aan de Knight-ransomware, meldt het slachtoffer dat hun organisatiebestanden en documenten zijn versleuteld. Volgens het bericht is de enige haalbare manier van gegevensherstel het doen van een betaling aan de aanvallers. Het gespecificeerde losgeldbedrag is 5000 USD in de vorm van Bitcoin-cryptocurrency, en over deze eis kan niet worden onderhandeld.

Zodra de betaling is voltooid, krijgt het slachtoffer de opdracht om contact op te nemen met de cybercriminelen en bewijs van de transactie te leveren. Bovendien bevat het bericht een waarschuwende verklaring dat het niet voldoen aan de losgeldeisen binnen een periode van vier dagen zal resulteren in de verkoop van bedrijfsgerelateerde informatie die is gestolen van het gecompromitteerde systeem.

Knight Ransom Note eist $ 5000 in Bitcoin

De volledige tekst van de losgeldbrief van Knight luidt als volgt:

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

Waarom rebranden ransomware-acteurs hun malware?

Ransomware-actoren veranderen hun malware vaak om verschillende strategische redenen:

  • Ontduiking van detectie: Beveiligingsonderzoekers en antivirussoftware werken voortdurend aan het identificeren en neutraliseren van bekende ransomware-stammen. Door rebranding kunnen ransomware-actoren detectie omzeilen door hun activiteit tijdelijk onder een nieuwe naam te maskeren. Hierdoor kunnen ze beveiligingslacunes uitbuiten en tijd winnen om systemen te infiltreren voordat beveiligingsmaatregelen hun inhaalslag maken.
  • Frisse aanpak: Rebranding biedt ransomware-actoren de mogelijkheid om nieuwe tactieken, technieken en procedures (TTP's) toe te passen. Ze kunnen coderingsmethoden of betalingsmechanismen wijzigen of zelfs nieuwe aanvalsvectoren introduceren. Deze frisse aanpak kan slachtoffers en beveiligingsprofessionals overrompelen, waardoor de kans op succesvolle aanvallen groter wordt.
  • Bekendheid vermijden: beruchte ransomwaresoorten trekken vaak meer aandacht van wetshandhavers, beveiligingsbedrijven en mediakanalen. Door rebranding kunnen ransomware-operators de bekendheid van hun eerdere aanvallen van zich afschudden en opnieuw beginnen met een schone lei.
  • Misleiding: door een nieuwe naam te gebruiken, kunnen ransomware-actoren onderzoekers en cyberbeveiligingsexperts op een wilde ganzenjacht leiden, waardoor middelen worden afgeleid van het volgen van hun daadwerkelijke operaties. Deze misleiding kan het voor verdedigers moeilijker maken om aanvallen nauwkeurig toe te schrijven aan specifieke groepen.
  • Verwarring en wanorde: een nieuwe naam kan leiden tot verwarring in de cyberbeveiligingsgemeenschap. Analisten kunnen de omgedoopte ransomware in eerste instantie behandelen als een geheel nieuwe dreiging, waardoor een alomvattende reactie wordt vertraagd en de aanvallers tijd krijgen om schade aan te richten.
  • Vertrouwen herstellen: als een bepaalde ransomware-stam de reputatie heeft opgebouwd dat ze zelfs na betaling geen decoderingssleutels levert, kan rebranding de aanvallers helpen betrouwbaarder over te komen. Slachtoffers kunnen geloven dat deze "nieuwe" groep hun einde van de losgeldovereenkomst zal nakomen.
  • Veranderende doelen: Ransomware-actoren kunnen besluiten hun focus te verschuiven van de ene branche of sector naar de andere. Rebranding kan helpen bij het creëren van een nieuw imago dat beter aansluit bij de gewenste doelgroep.

Tegen Zaib
August 16, 2023
Ransomware
Nederlands
August 16, 2023
Ransomware

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.