Knight Ransomware daje Cyclopowi świeżą warstwę farby

Oprogramowanie ransomware Cyclops przeszło rebranding i teraz nosi nazwę Knight ransomware. Ta klasyfikacja złośliwego oprogramowania ma na celu szyfrowanie plików, a następnie żądanie okupu za odszyfrowanie tych plików.

Po uruchomieniu próbki oprogramowania ransomware Knight w naszym systemie testowym zainicjowało ono proces szyfrowania plików i dodało rozszerzenie „.knight_l” do ich oryginalnych nazw plików. Na przykład plik początkowo oznaczony jako „1.jpg” zostałby przekształcony w „1.jpg.knight_l”, a „2.png” w „2.png.knight_l” i tak dalej. Ponadto, żądanie okupu zatytułowane "How To Restore Your Files.txt" zostało umieszczone w każdym folderze zawierającym zaszyfrowane pliki w systemie.

Należy zauważyć, że grupa stojąca za Knightem działa jako Ransomware-as-a-Service, a ci cyberprzestępcy dostarczają również złośliwe oprogramowanie przeznaczone do kradzieży informacji. W związku z tym istnieje możliwość, że te ataki ransomware będą obejmować składnik podwójnego wymuszenia. Wariant, który zbadaliśmy, wspominał o wykorzystaniu takich strategii.

Żądanie okupu związane z oprogramowaniem ransomware Knight informuje ofiarę, że jej pliki i dokumenty organizacyjne zostały zaszyfrowane. Zgodnie z komunikatem jedynym możliwym sposobem na odzyskanie danych jest dokonanie płatności na rzecz atakujących. Określona kwota okupu to 5000 USD w postaci kryptowaluty Bitcoin, a żądanie to nie podlega negocjacjom.

Po dokonaniu płatności ofiara jest proszona o nawiązanie kontaktu z cyberprzestępcami i dostarczenie dowodów transakcji. Ponadto wiadomość zawiera ostrzeżenie, że niespełnienie żądań okupu w ciągu czterech dni spowoduje sprzedaż informacji biznesowych skradzionych z zaatakowanego systemu.

Knight Ransom Note żąda 5000 $ w bitcoinach

Pełny tekst żądania okupu od Knighta brzmi następująco:

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

Dlaczego aktorzy ransomware zmieniają markę swojego złośliwego oprogramowania?

Aktorzy ransomware często zmieniają nazwę swojego złośliwego oprogramowania z kilku strategicznych powodów:

• Unikanie wykrycia: badacze bezpieczeństwa i oprogramowanie antywirusowe nieustannie pracują nad identyfikacją i neutralizacją znanych szczepów oprogramowania ransomware. Zmieniając markę, aktorzy ransomware mogą uniknąć wykrycia, tymczasowo maskując swoją aktywność pod nową nazwą. Pozwala im to wykorzystać luki w zabezpieczeniach i zyskać czas na infiltrację systemów, zanim środki bezpieczeństwa nadrobią zaległości.
• Świeże podejście: rebranding zapewnia podmiotom ransomware możliwość przyjęcia nowych taktyk, technik i procedur (TTP). Mogą zmienić metody szyfrowania, mechanizmy płatności, a nawet wprowadzić nowe wektory ataków. To świeże podejście może zaskoczyć ofiary i specjalistów ds. bezpieczeństwa, zwiększając prawdopodobieństwo udanych ataków.
• Unikanie rozgłosu: niesławne odmiany oprogramowania ransomware często przyciągają większą uwagę organów ścigania, firm ochroniarskich i mediów. Zmiana marki pozwala operatorom oprogramowania ransomware pozbyć się rozgłosu związanego z ich poprzednimi atakami i zacząć od nowa z czystym kontem.
• Misdirection: Używając nowej nazwy, atakujący ransomware mogą prowadzić śledczych i ekspertów ds. To błędne ukierunkowanie może utrudnić obrońcom dokładne przypisanie ataków do określonych grup.
• Zamieszanie i chaos: nowa nazwa może wprowadzić zamieszanie w społeczności zajmującej się cyberbezpieczeństwem. Analitycy mogą początkowo traktować oprogramowanie ransomware pod zmienioną nazwą jako zupełnie nowe zagrożenie, opóźniając kompleksową reakcję i dając atakującym czas na wyrządzenie szkód.
• Odbudowa zaufania: jeśli dana odmiana oprogramowania ransomware zyskała reputację tego, że nie dostarcza kluczy deszyfrujących nawet po dokonaniu płatności, zmiana marki może pomóc atakującym wyglądać na bardziej godnych zaufania. Ofiary mogą wierzyć, że ta „nowa” grupa dotrzyma umowy okupu.
• Zmieniające się cele: Aktorzy ransomware mogą podjąć decyzję o przeniesieniu uwagi z jednej branży lub sektora do innej. Rebranding może pomóc w stworzeniu nowego wizerunku, który lepiej pasuje do pożądanej grupy docelowej.