Knight 勒索軟件給獨眼巨人披上了一層新漆

Cyclops 勒索軟件已更名，現在更名為 Knight 勒索軟件。此類惡意軟件的設計目的是對文件進行加密，並隨後要求贖金來解密這些文件。

在我們的測試系統上運行 Knight 勒索軟件樣本後，它啟動了加密文件的過程，並在其原始文件名中添加了“.knight_l”擴展名。例如，最初標記為“1.jpg”的文件將轉換為“1.jpg.knight_l”，“2.png”將轉換為“2.png.knight_l”，依此類推。此外，系統上每個包含加密文件的文件夾中都放置了一份名為“How To Restore Your Files.txt”的勒索字條。

值得注意的是，Knight 背後的組織將其作為勒索軟件即服務來運營，並且這些威脅參與者還提供了旨在竊取信息的惡意軟件。因此，這些勒索軟件攻擊有可能涉及雙重勒索組件。我們檢查的變體提到了此類策略的利用。

與 Knight 勒索軟件相關的勒索字條通知受害者，他們的組織文件和文檔已被加密。根據該消息，恢復數據的唯一可行方法是向攻擊者付款。指定的贖金金額為 5000 美元，以比特幣加密貨幣形式，並且這一要求是不可協商的。

付款完成後，受害者將被指示與網絡犯罪分子建立聯繫並提供交易證據。此外，該消息還包含一個警告聲明，即如果在四天內未能滿足贖金要求，將導致從受感染系統中竊取的與業務相關的信息被出售。

Knight 勒索贖金 索要 5000 美元的比特幣

騎士勒索信全文如下：

All your documents, company files, images, etc (and there are a lot of company data) have been encrypted and the extension has been changed to .knight_l .

The recovery is only possible with our help.

US $5000 in Bitcoin is the price for restoring all of your data. This is the average monthly wage for 1 employee in your company. So don't even think about negotiating. That would only be a waste of time and you will be ignored.

Send the Bitcoin to this wallet:14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z (This is your only payment address, please don't pay BTC to other than this or you won't be able to get it decrypted!)

After completing the Bitcoin transaction, send an email at: - (Download and install TOR Browser (hxxps://www.torproject.org/).[If you don't know how to use it, do a Google search!]).You will get an answer as soon as possible.

I expect a message from you with the transfer of BTC Confirmation (TXID). So we can move forward to decrypt all your data. TXID is very important because it will help us identify your payment and connect it to your encrypted data.Do not use that I am here to waste mine or your time.

How to buy the BTC?

hxxps://www.binance.com/en/how-to-buy/bitcoin

hxxps://www.coinbase.com/how-to-buy/bitcoin

Note:

Your data are uploaded to our servers before being encrypted,

Everything related to your business (customer data, POS Data, documents related to your orders and delivery, and others).

If you do not contact us and do not confirm the payment within 4 days, we will move forward and will announce the sales of the extracted data.

ID: -

為什麼勒索軟件攻擊者要重新命名他們的惡意軟件？

勒索軟件攻擊者經常出於以下幾個戰略原因重新命名其惡意軟件：

• 逃避檢測：安全研究人員和防病毒軟件不斷努力識別和消除已知的勒索軟件病毒。通過品牌重塑，勒索軟件攻擊者可以通過用新名稱暫時掩蓋其活動來逃避檢測。這使得他們能夠利用安全漏洞並在安全措施趕上之前贏得時間滲透系統。
• 新鮮方法：品牌重塑為勒索軟件攻擊者提供了採用新策略、技術和程序 (TTP) 的機會。他們可能會改變加密方法、支付機制，甚至引入新的攻擊媒介。這種新方法可能會讓受害者和安全專業人員措手不及，從而增加攻擊成功的可能性。
• 避免惡名：臭名昭著的勒索軟件菌株通常會引起執法部門、安全公司和媒體的更多關注。品牌重塑可以讓勒索軟件運營商擺脫與之前的攻擊相關的惡名，並重新開始。
• 誤導：通過使用新名稱，勒索軟件攻擊者可以引導調查人員和網絡安全專家進行徒勞的追逐，從而將資源從跟踪其實際操作中轉移出來。這種誤導可能會使防御者更難準確地將攻擊歸因於特定群體。
• 混亂和混亂：新名稱可能會導致網絡安全社區混亂。分析師最初可能會將重新命名的勒索軟件視為一種全新的威脅，從而延遲全面的響應，並給攻擊者帶來造成損害的時間。
• 重建信任：如果特定的勒索軟件菌株因即使在付款後也不提供解密密鑰而享有盛譽，那麼品牌重塑可以幫助攻擊者顯得更值得信賴。受害者可能相信這個“新”組織會兌現他們的贖金協議。
• 改變目標：勒索軟件攻擊者可能決定將注意力從一個行業或部門轉移到另一個行業或部門。品牌重塑可以幫助創建一個更好地符合其所需目標受眾的新形象。