Night Sky Ransomware
Показател за заплахи
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards са доклади за оценка на различни заплахи от зловреден софтуер, които са събрани и анализирани от нашия изследователски екип. EnigmaSoft Threat Scorecards оценява и класира заплахите, като използва няколко показателя, включително реални и потенциални рискови фактори, тенденции, честота, разпространение и устойчивост. EnigmaSoft Threat Scorecards се актуализират редовно въз основа на нашите изследователски данни и показатели и са полезни за широк кръг компютърни потребители, от крайни потребители, търсещи решения за премахване на зловреден софтуер от техните системи, до експерти по сигурността, анализиращи заплахи.
EnigmaSoft Threat Scorecards показва разнообразна полезна информация, включително:
Класиране: Класирането на определена заплаха в базата данни за заплахи на EnigmaSoft.
Ниво на сериозност: Определеното ниво на сериозност на обект, представено числено, въз основа на нашия процес на моделиране на риска и изследване, както е обяснено в нашите критерии за оценка на заплахите .
Заразени компютри: Броят на потвърдените и предполагаеми случаи на определена заплаха, открити на заразени компютри, както се съобщава от SpyHunter.
Вижте също Критерии за оценка на заплахите .
| Ниво на заплаха: | 100 % (Високо) |
| Заразени компютри: | 4 |
| Първо видяно: | January 7, 2022 |
| Последно видян: | April 26, 2023 |
| Засегнати операционни системи: | Windows |
Някои киберпрестъпници решиха да не си правят почивка около празниците и вместо това да се съсредоточат върху намирането на нови жертви за своите атаки за откуп. Една такава група се състои от хакерите зад новооткритата заплаха за изкупуване на Night Sky Ransomware. Този конкретен зловреден софтуер е забелязан за първи път от изследователи, които смятат, че операцията Night Sky е стартирана на 27 декември 2021 г. Малко повече от седмица по-късно заплахата Night Sky успя да зарази две корпоративни жертви, една от Япония и една от Бангладеш.
Технически подробности
Подобно на повечето операции за рансъмуер, насочени към корпоративни субекти, киберпрестъпниците Night Sky Ransomware също използват две различни тактики за изнудване. Те заключват важни файлове, съхранявани на заразените компютри, но не и преди да ги ексфилтрират на собствения си сървър. След това те заплашват жертвите, които не желаят да платят искания откуп, че събраните данни ще бъдат или продадени на конкуренти, или пуснати на обществеността чрез специален сайт за течове.
Що се отнася до самия Night Sky Ransomware, заплахата използва непробиваем алгоритъм за криптиране, за да заключи огромен брой типове файлове. Единствените, които ще останат непокътнати, са тези с .dll. и разширенията .exe, тъй като манипулирането им може да доведе до неизправност на операционната система на устройството или до критични грешки. Предимно по същата причина, ransomware също ще избегне криптирането на списък от 30 специално избрани файла и папкиприблизително. Те включват AppData, Boot, Windows, ProgramData, boot.ini, ntldr и др. Всички останали файлове ще бъдат криптирани и ще имат добавен „.nightsky“ към оригиналните им имена.
Преглед на бележката за откуп
След като завърши процеса на криптиране, Night Sky Ransomware ще пусне файл с бележка за откуп във всяка папка, съдържаща заключените данни. Тези новосъздадени файлове ще бъдат наречени „NightSkyReadMe.hta“. Те съдържат съобщение, изискващо откуп, което е персонализирано за конкретната жертва. Поради това някои подробности, включително сумата на откупа, може да варират. Настоящите доказателства показват, че една от двете настоящи жертви на операциите Night Sky е била помолена да плати 800 000 долара, за да получи инструмент за декриптиране и да избегне оповестяването на неговите данни.
Бележките за откуп също съдържат твърдо кодирани идентификационни данни за вход за страницата за преговори на киберпрестъпниците. За разлика от други хакерски групи от този тип, Night Sky не използва уебсайт на Tor за комуникационни цели. Вместо това жертвите са насочени към нормален уебсайт, който работи с Rocket.Chat. Въпреки това сайтът за изтичане на информация на групата, който съдържа данните на техните жертви, наистина се хоства в мрежата Tor.
