Knight Ransomware ger Cyclops ett nytt lager färg

Cyclops ransomware har genomgått en omprofilering och går nu under namnet Knight ransomware. Denna klassificering av skadlig programvara är utformad med avsikten att kryptera filer och därefter kräva lösensummor för dekryptering av dessa filer.

Efter att ha kört ett Knight ransomware-exempel på vårt testsystem, initierade det processen att kryptera filer och lade till ett ".knight_l"-tillägg till deras ursprungliga filnamn. Till exempel skulle en fil som ursprungligen märktes som "1.jpg" omvandlas till "1.jpg.knight_l" och "2.png" skulle bli "2.png.knight_l" och så vidare. Dessutom placerades en lösennota med titeln "How To Restore Your Files.txt" i varje mapp som innehåller krypterade filer på systemet.

Det är viktigt att notera att gruppen bakom Knight driver det som en Ransomware-as-a-Service, och dessa hotaktörer tillhandahåller även skadlig programvara som är utformad för att stjäla information. Följaktligen finns det en potential för dessa ransomware-attacker att involvera en dubbel utpressningskomponent. Varianten vi undersökte nämnde användningen av sådana strategier.

Lösenedeln förknippad med Knight ransomware meddelar offret att deras organisationsfiler och dokument har krypterats. Enligt meddelandet är det enda möjliga sättet att återställa data genom att göra en betalning till angriparna. Det angivna lösenbeloppet är 5000 USD i form av Bitcoin kryptovaluta, och detta krav är inte förhandlingsbart.

När betalningen är genomförd instrueras offret att ta kontakt med cyberbrottslingarna och tillhandahålla bevis för transaktionen. Dessutom innehåller meddelandet ett varnande uttalande om att underlåtenhet att uppfylla kraven på lösen inom en fyradagarsperiod kommer att resultera i försäljning av affärsrelaterad information som stulits från det komprometterade systemet.

Knight Ransom Note kräver $5000 i Bitcoin

Den fullständiga texten till riddarens lösennota lyder som följer:

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

Varför märker Ransomware-aktörer om sin skadliga programvara?

Ransomware-aktörer ändrar ofta sin skadliga programvara av flera strategiska skäl:

• Undvikande av upptäckt: Säkerhetsforskare och antivirusprogram arbetar ständigt med att identifiera och neutralisera kända ransomware-stammar. Genom att ändra varumärket kan ransomware-aktörer undvika upptäckt genom att tillfälligt maskera sin aktivitet under ett nytt namn. Detta gör att de kan utnyttja säkerhetsluckor och köpa tid att infiltrera system innan säkerhetsåtgärderna kommer ikapp.
• Fresh Approach: Rebranding ger ransomware-aktörer en möjlighet att anta nya taktiker, tekniker och procedurer (TTP). De kan ändra krypteringsmetoder, betalningsmekanismer eller till och med introducera nya attackvektorer. Detta nya tillvägagångssätt kan fånga offer och säkerhetspersonal på oväntade sätt, vilket ökar sannolikheten för framgångsrika attacker.
• Undvika ryktbarhet: Ökända ransomware-stammar lockar ofta mer uppmärksamhet från brottsbekämpande myndigheter, säkerhetsföretag och media. Rebranding gör att ransomware-operatörer kan avskaffa ryktet som är förknippat med deras tidigare attacker och börja på nytt med ett rent blad.
• Missvisning: Genom att använda ett nytt namn kan ransomware-aktörer leda utredare och cybersäkerhetsexperter på vilda jakter och avleda resurser från att spåra deras faktiska verksamhet. Denna missvisning kan göra det svårare för försvarare att korrekt tillskriva attacker till specifika grupper.
• Förvirring och oordning: Ett nytt namn kan leda till förvirring i cybersäkerhetsgemenskapen. Analytiker kan initialt behandla den omdöpta ransomwaren som ett helt nytt hot, som försenar ett omfattande svar och ger angriparna tid att orsaka skada.
• Återuppbygga förtroende: Om en viss ransomware-stam har skaffat sig ett rykte om att inte tillhandahålla dekrypteringsnycklar även efter betalning, kan omprofilering hjälpa angriparna att framstå som mer pålitliga. Offren kan tro att denna "nya" grupp kommer att hedra deras slut på lösensumman.
• Ändra mål: Ransomware-aktörer kan besluta att flytta sitt fokus från en bransch eller sektor till en annan. Rebranding kan hjälpa till att skapa en ny image som bättre överensstämmer med deras önskade målgrupp.