Knight Ransomware дает Cyclops свежий слой краски

Программа-вымогатель Cyclops претерпела ребрендинг и теперь называется программой-вымогателем Knight. Эта классификация вредоносных программ предназначена для шифрования файлов и последующего требования выкупа за расшифровку этих файлов.

После запуска образца программы-вымогателя Knight в нашей тестовой системе он инициировал процесс шифрования файлов и добавил расширение «.knight_l» к их исходным именам файлов. Например, файл, изначально помеченный как «1.jpg», будет преобразован в «1.jpg.knight_l», а «2.png» станет «2.png.knight_l» и так далее. Кроме того, записка с требованием выкупа под названием «Как восстановить ваши файлы.txt» была помещена в каждую папку, содержащую зашифрованные файлы в системе.

Важно отметить, что группа, стоящая за Knight, использует его как Ransomware-as-a-Service, и эти злоумышленники также предоставляют вредоносное ПО, предназначенное для кражи информации. Следовательно, эти атаки программ-вымогателей могут включать компонент двойного вымогательства. В рассмотренном нами варианте упоминалось использование таких стратегий.

Записка о выкупе, связанная с программой-вымогателем Knight, уведомляет жертву о том, что ее организационные файлы и документы были зашифрованы. Согласно сообщению, единственным возможным способом восстановления данных является оплата злоумышленникам. Указанная сумма выкупа составляет 5000 долларов США в виде криптовалюты Биткойн, и это требование не подлежит обсуждению.

После завершения платежа жертве предлагается установить контакт с киберпреступниками и предоставить доказательства транзакции. Кроме того, сообщение содержит предостережение о том, что невыполнение требований о выкупе в течение четырех дней приведет к продаже деловой информации, украденной из скомпрометированной системы.

Записка о выкупе рыцаря требует 5000 долларов в биткойнах

Полный текст записки о выкупе Рыцаря выглядит следующим образом:

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

Почему действующие лица программ-вымогателей проводят ребрендинг своего вредоносного ПО?

Субъекты программ-вымогателей часто проводят ребрендинг своего вредоносного ПО по нескольким стратегическим причинам:

• Уклонение от обнаружения: исследователи безопасности и антивирусное программное обеспечение постоянно работают над выявлением и нейтрализацией известных штаммов программ-вымогателей. С помощью ребрендинга злоумышленники могут избежать обнаружения, временно маскируя свою деятельность под новым именем. Это позволяет им использовать бреши в системе безопасности и выиграть время для проникновения в системы до того, как сработают меры безопасности.
• Свежий подход: ребрендинг предоставляет злоумышленникам-вымогателям возможность применять новые тактики, методы и процедуры (TTP). Они могут изменить методы шифрования, механизмы оплаты или даже ввести новые векторы атак. Этот свежий подход может застать жертв и специалистов по безопасности врасплох, увеличивая вероятность успешных атак.
• Избегайте известности. Печально известные штаммы программ-вымогателей часто привлекают больше внимания со стороны правоохранительных органов, охранных компаний и средств массовой информации. Ребрендинг позволяет операторам программ-вымогателей избавиться от дурной славы, связанной с их предыдущими атаками, и начать все заново с чистого листа.
• Неправильное направление: используя новое имя, злоумышленники-вымогатели могут ввести следователей и экспертов по кибербезопасности в погоню за дикими гусями, отвлекая ресурсы от отслеживания их реальных операций. Это неправильное направление может затруднить защитникам точное отнесение атак к определенным группам.
• Путаница и беспорядок: новое имя может привести к путанице в сообществе кибербезопасности. Аналитики могут сначала рассматривать программу-вымогатель с измененным брендом как совершенно новую угрозу, что задерживает комплексный ответ и дает злоумышленникам время для нанесения ущерба.
• Восстановление доверия: если конкретный штамм программы-вымогателя получил репутацию не предоставляющего ключи дешифрования даже после оплаты, ребрендинг может помочь злоумышленникам выглядеть более заслуживающими доверия. Жертвы могут полагать, что эта «новая» группа выполнит свою часть сделки о выкупе.
• Изменение целей: участники программ-вымогателей могут решить сместить свое внимание с одной отрасли или сектора на другой. Ребрендинг может помочь в создании нового имиджа, который лучше соответствует желаемой целевой аудитории.