Ransomware noční oblohy
Scorecard of Threat
Scorecard ohrožení EnigmaSoft
EnigmaSoft Threat Scorecards jsou zprávy o hodnocení různých malwarových hrozeb, které shromáždil a analyzoval náš výzkumný tým. EnigmaSoft Threat Scorecards hodnotí a hodnotí hrozby pomocí několika metrik včetně reálných a potenciálních rizikových faktorů, trendů, frekvence, prevalence a perzistence. EnigmaSoft Threat Scorecards jsou pravidelně aktualizovány na základě našich výzkumných dat a metrik a jsou užitečné pro širokou škálu počítačových uživatelů, od koncových uživatelů hledajících řešení k odstranění malwaru ze svých systémů až po bezpečnostní experty analyzující hrozby.
EnigmaSoft Threat Scorecards zobrazuje řadu užitečných informací, včetně:
Hodnocení: Hodnocení konkrétní hrozby v databázi hrozeb EnigmaSoft.
Úroveň závažnosti: Určená úroveň závažnosti objektu, vyjádřená číselně, na základě našeho procesu modelování rizik a výzkumu, jak je vysvětleno v našich kritériích hodnocení hrozeb .
Infikované počítače: Počet potvrzených a podezřelých případů konkrétní hrozby zjištěných na infikovaných počítačích podle zprávy SpyHunter.
Viz také Kritéria hodnocení hrozeb .
Úroveň ohrožení: | 100 % (Vysoký) |
Infikované počítače: | 4 |
Poprvé viděn: | January 7, 2022 |
Naposledy viděn: | April 26, 2023 |
Ovlivněné OS: | Windows |
Někteří kyberzločinci se rozhodli nedat si o prázdninách přestávku a místo toho se zaměřit na hledání nových obětí svých ransomwarových útoků. Jednu takovou skupinu tvoří hackeři stojící za nově objevenou hrozbou Night Sky Ransomware. Tento konkrétní malware byl poprvé spatřen výzkumníky, kteří se domnívají, že operace Noční obloha byla zahájena 27. prosince 2021. Za něco málo přes týden později se hrozbě Noční obloha podařilo infikovat dvě firemní oběti, jednu z Japonska a jednu z Bangladéše.
Technické údaje
Stejně jako většina ransomwarových operací zaměřených na korporátní subjekty, i kyberzločinci Night Sky Ransomware používají dvě různé taktiky vydírání. Zamykají důležité soubory uložené na infikovaných počítačích, ale ne dříve, než je exfiltrují na svůj vlastní server. Poté vyhrožují obětem, které nejsou ochotny zaplatit požadované výkupné, že shromážděná data budou buď prodána konkurentům, nebo zveřejněna prostřednictvím vyhrazené stránky pro úniky.
Pokud jde o samotný Ransomware Night Sky, hrozba používá neprolomitelný šifrovací algoritmus k uzamčení velkého množství typů souborů. Jediné, které zůstanou nedotčeny, jsou ty s .dll. a přípony .exe, protože jejich manipulace může způsobit selhání operačního systému v zařízení nebo kritické chyby. Většinou ze stejného důvodu se ransomware také vyhne šifrování seznamu 30 konkrétně vybraných souborů a složek.přibližně. Patří sem AppData, Boot, Windows, ProgramData, boot.ini, ntldr a další. Všechny ostatní soubory budou zašifrovány a ke svým původním jménům budou mít připojeno '.nightsky'.
Přehled Ransom Note
Po dokončení procesu šifrování Night Sky Ransomware vloží soubor s poznámkou o výkupném do každé složky obsahující uzamčená data. Tyto nově vytvořené soubory budou pojmenovány 'NightSkyReadMe.hta.' Obsahují zprávu požadující výkupné, která byla přizpůsobena konkrétní oběti. Některé detaily, včetně výše výkupného, se proto mohou lišit. Současné důkazy ukazují, že jedna ze dvou současných obětí operací noční oblohy byla požádána, aby zaplatila 800 000 dolarů za získání dešifrovacího nástroje a vyhnula se zveřejnění jejích dat.
Poznámky o výkupném také obsahují napevno zakódované přihlašovací údaje pro vyjednávací stránku kyberzločinců. Na rozdíl od jiných hackerských skupin tohoto typu, Night Sky nepoužívá pro komunikaci web Tor. Místo toho jsou oběti nasměrovány na normální webovou stránku, na které běží Rocket.Chat. Místo úniku skupiny, která obsahuje data jejich obětí, je však skutečně hostováno v síti Tor.