Knight Ransomware dá ao Cyclops uma nova camada de tinta

O Cyclops ransomware passou por um rebranding e agora atende pelo nome Knight ransomware. Essa classificação de malware é projetada com a intenção de criptografar arquivos e, posteriormente, exigir resgates para a descriptografia desses arquivos.

Ao executar uma amostra do ransomware Knight em nosso sistema de teste, ele iniciou o processo de criptografia de arquivos e adicionou uma extensão ".knight_l" aos seus nomes de arquivo originais. Por exemplo, um arquivo inicialmente rotulado como "1.jpg" seria transformado em "1.jpg.knight_l" e "2.png" se tornaria "2.png.knight_l" e assim por diante. Além disso, uma nota de resgate intitulada "How To Restore Your Files.txt" foi colocada em cada pasta contendo arquivos criptografados no sistema.

É importante observar que o grupo por trás do Knight o opera como um Ransomware-as-a-Service, e esses agentes de ameaças também fornecem malware projetado para roubar informações. Consequentemente, existe a possibilidade de esses ataques de ransomware envolverem um componente de extorsão dupla. A variante que examinamos mencionou a utilização de tais estratégias.

A nota de resgate associada ao ransomware Knight notifica a vítima de que seus arquivos e documentos organizacionais foram criptografados. De acordo com a mensagem, o único meio viável de recuperação de dados é fazendo um pagamento aos invasores. O valor do resgate especificado é de 5.000 USD na forma de criptomoeda Bitcoin, e essa demanda não é negociável.

Assim que o pagamento é concluído, a vítima é instruída a estabelecer contato com os cibercriminosos e fornecer provas da transação. Além disso, a mensagem contém uma declaração de advertência de que o não cumprimento das exigências de resgate dentro de um período de quatro dias resultará na venda de informações comerciais roubadas do sistema comprometido.

Knight Ransom Note exige $ 5.000 em Bitcoin

O texto completo da nota de resgate de Knight é o seguinte:

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

Por que os agentes de ransomware renomeiam seus malwares?

Os agentes de ransomware geralmente renomeiam seus malwares por vários motivos estratégicos:

• Evasão de detecção: pesquisadores de segurança e software antivírus trabalham constantemente para identificar e neutralizar variedades conhecidas de ransomware. Ao renomear, os agentes de ransomware podem evitar a detecção mascarando temporariamente sua atividade com um novo nome. Isso permite que eles explorem brechas de segurança e ganhem tempo para se infiltrar nos sistemas antes que as medidas de segurança sejam atualizadas.
• Nova abordagem: o rebranding oferece aos agentes de ransomware uma oportunidade de adotar novas táticas, técnicas e procedimentos (TTPs). Eles podem alterar métodos de criptografia, mecanismos de pagamento ou até mesmo introduzir novos vetores de ataque. Essa nova abordagem pode pegar as vítimas e os profissionais de segurança desprevenidos, aumentando a probabilidade de ataques bem-sucedidos.
• Evitando a notoriedade: variedades infames de ransomware geralmente atraem mais atenção das autoridades policiais, empresas de segurança e meios de comunicação. O rebranding permite que os operadores de ransomware abandonem a notoriedade associada a seus ataques anteriores e comecem do zero.
• Desorientação: ao usar um novo nome, os agentes de ransomware podem conduzir investigadores e especialistas em segurança cibernética em uma busca infrutífera, desviando recursos do rastreamento de suas operações reais. Esse direcionamento incorreto pode tornar mais difícil para os defensores atribuir ataques com precisão a grupos específicos.
• Confusão e desordem: um novo nome pode causar confusão na comunidade de segurança cibernética. Os analistas podem inicialmente tratar o ransomware renomeado como uma ameaça totalmente nova, atrasando uma resposta abrangente e dando aos invasores tempo para infligir danos.
• Reconstruindo a confiança: se uma variedade específica de ransomware conquistou a reputação de não fornecer chaves de descriptografia mesmo após o pagamento, o rebranding pode ajudar os invasores a parecerem mais confiáveis. As vítimas podem acreditar que esse "novo" grupo honrará sua parte no acordo de resgate.
• Metas em mudança: os agentes de ransomware podem decidir mudar seu foco de uma indústria ou setor para outro. O rebranding pode ajudar na criação de uma nova imagem que se alinhe melhor com o público-alvo desejado.