Night Sky Ransomware
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for forskellige malware-trusler, som er blevet indsamlet og analyseret af vores forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjælp af adskillige metrics, herunder virkelige og potentielle risikofaktorer, tendenser, frekvens, udbredelse og persistens. EnigmaSoft Threat Scorecards opdateres regelmæssigt baseret på vores forskningsdata og metrics og er nyttige for en bred vifte af computerbrugere, fra slutbrugere, der søger løsninger til at fjerne malware fra deres systemer, til sikkerhedseksperter, der analyserer trusler.
EnigmaSoft Threat Scorecards viser en række nyttige oplysninger, herunder:
Rangering: Rangeringen af en bestemt trussel i EnigmaSofts trusseldatabase.
Sværhedsgrad: Et objekts fastlagte sværhedsgrad, repræsenteret numerisk, baseret på vores risikomodelleringsproces og forskning, som forklaret i vores trusselsvurderingskriterier .
Inficerede computere: Antallet af bekræftede og formodede tilfælde af en bestemt trussel opdaget på inficerede computere som rapporteret af SpyHunter.
Se også Kriterier for trusselsvurdering .
| Trusselsniveau: | 100 % (Høj) |
| Inficerede computere: | 4 |
| Først set: | January 7, 2022 |
| Sidst set: | April 26, 2023 |
| Berørte operativsystemer: | Windows |
Nogle cyberkriminelle besluttede sig for ikke at tage en pause omkring ferien og i stedet fokusere på at finde nye ofre for deres ransomware-angreb. En sådan gruppe består af hackerne bag den nyopdagede Night Sky Ransomware-trussel. Denne særlige malware blev først opdaget af forskere, der mener, at Night Sky-operationen blev lanceret den 27. december 2021. På lidt over en uge senere har Night Sky-truslen formået at inficere to virksomheders ofre, et fra Japan og et fra Bangladesh.
Tekniske detaljer
Ligesom de fleste ransomware-operationer rettet mod virksomhedsenheder, bruger Night Sky Ransomware-cyberkriminelle også to forskellige afpresningstaktikker. De låser vigtige filer, der er gemt på de inficerede computere, men ikke før de eksfiltrerer dem til deres egen server. Bagefter truer de ofrene, der ikke er villige til at betale den krævede løsesum, at de indsamlede data enten vil blive solgt til konkurrenter eller frigivet til offentligheden via et dedikeret lækagested.
Hvad angår selve Night Sky Ransomware, bruger truslen en krypteringsalgoritme, der ikke kan knækkes, til at låse et stort antal filtyper. De eneste, der forbliver intakte, er dem med .dll. og .exe-udvidelser, som manipulation med dem, kan forårsage, at operativsystemet på enheden ikke fungerer korrekt eller oplever kritiske fejl. For det meste af samme grund vil ransomware også undgå at kryptere en liste med 30 specifikt valgte filer og mapperrundt regnet. Disse omfatter AppData, Boot, Windows, ProgramData, boot.ini, ntldr og mere. Alle andre filer vil blive krypteret og har '.nightsky' tilføjet deres originale navne.
Ransom Notes oversigt
Efter at have fuldført sin krypteringsproces, vil Night Sky Ransomware slippe en løsesum-notatfil i hver mappe, der indeholder de låste data. Disse nyoprettede filer vil få navnet 'NightSkyReadMe.hta.' De indeholder en løsesumskrævende besked, som er blevet personliggjort til det specifikke offer. Som sådan kan nogle detaljer, herunder løsesummen, variere. Aktuelle beviser viser, at et af de to nuværende ofre for Night Sky-operationerne er blevet bedt om at betale $800.000 for at modtage et dekrypteringsværktøj og undgå at få dets data frigivet.
Løsesedlerne indeholder også hårdkodede loginoplysninger til de cyberkriminelles forhandlingsside. I modsætning til andre hackergrupper af denne type, bruger Night Sky ikke et Tor-websted til kommunikationsformål. I stedet ledes ofrene mod en normal hjemmeside, der kører Rocket.Chat. Imidlertid er lækagestedet for gruppen, der indeholder data fra deres ofre, faktisk hostet på Tor-netværket.
