Night Sky Ransomware
Uhkien tuloskortti
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards ovat arviointiraportteja erilaisista haittaohjelmauhkista, jotka tutkimustiimimme on kerännyt ja analysoinut. EnigmaSoft Threat Scorecards arvioi ja luokittelee uhkia käyttämällä useita mittareita, mukaan lukien todelliset ja mahdolliset riskitekijät, trendit, esiintymistiheys, esiintyvyys ja pysyvyys. EnigmaSoft Threat Scorecards päivitetään säännöllisesti tutkimustietojemme ja mittareittemme perusteella, ja ne ovat hyödyllisiä monenlaisille tietokoneen käyttäjille, aina haittaohjelmien poistamiseen järjestelmissään ratkaisuja etsivistä loppukäyttäjistä uhkia analysoiviin tietoturvaasiantuntijoihin.
EnigmaSoft Threat Scorecards näyttää monenlaista hyödyllistä tietoa, mukaan lukien:
Ranking: Tietyn uhan sijoitus EnigmaSoftin uhkatietokannassa.
Vakavuustaso: Kohteen määritetty vakavuusaste, joka esitetään numeerisesti riskimallinnuksemme ja tutkimukseemme perusteella, kuten uhkien arviointikriteereissämme selitetään.
Tartunnan saaneet tietokoneet: SpyHunterin raportoimien vahvistettujen ja epäiltyjen tietyn uhan tapausten määrä tartunnan saaneissa tietokoneissa.
Katso myös Uhkien arviointikriteerit .
| Uhka taso: | 100 % (Korkea) |
| Tartunnan saaneet tietokoneet: | 4 |
| Ensin nähty: | January 7, 2022 |
| Viimeksi nähty: | April 26, 2023 |
| Vaikuttavat käyttöjärjestelmät: | Windows |
Jotkut kyberrikolliset päättivät olla pitämättä taukoa lomien aikoihin ja keskittyä sen sijaan uusien uhrien etsimiseen kiristysohjelmahyökkäyksilleen. Yksi tällainen ryhmä koostuu vasta löydetyn Night Sky Ransomware -uhan takana olevista hakkereista. Tämän tietyn haittaohjelman havaitsivat ensimmäisenä tutkijat, jotka uskovat Night Sky -operaation alkaneen 27. joulukuuta 2021. Reilun viikon kuluttua Night Sky -uhka on onnistunut tartuttamaan kaksi yritysuhria, yhden Japanista ja yhden Bangladeshista.
Tekniset yksityiskohdat
Kuten useimmat yrityksille suunnatut kiristysohjelmat, myös Night Sky Ransomware -verkkorikolliset käyttävät kahta erilaista kiristystaktiikkaa. Ne lukitsevat tärkeimmät tiedostot, jotka on tallennettu tartunnan saaneisiin tietokoneisiin, mutta eivät ennen kuin ne ovat suodattaneet ne omalle palvelimelleen. Myöhemmin he uhkaavat uhreja, jotka eivät ole halukkaita maksamaan vaadittua lunnaita, että kerätyt tiedot joko myydään kilpailijoille tai luovutetaan yleisölle erillisen vuotosivuston kautta.
Mitä tulee itse Night Sky Ransomware -ohjelmaan, uhka käyttää murtumatonta salausalgoritmia lukuisten tiedostotyyppien lukitsemiseen. Ainoat, jotka säilyvät ennallaan, ovat ne, joissa on .dll. ja .exe-laajennukset voivat peukaloituessaan aiheuttaa laitteen käyttöjärjestelmän toimintahäiriön tai kriittisiä virheitä. Useimmiten samasta syystä lunnasohjelma välttää myös 30 erityisesti valitun tiedoston ja kansion luettelon salaamisensuunnilleen. Näitä ovat AppData, Boot, Windows, ProgramData, boot.ini, ntldr ja paljon muuta. Kaikki muut tiedostot salataan ja niiden alkuperäisiin nimiin liitetään .nightsky.
Ransom Note:n yleiskatsaus
Saatuaan salausprosessin valmiiksi Night Sky Ransomware pudottaa lunnaita koskeva muistiinpanotiedoston jokaiseen kansioon, joka sisältää lukitut tiedot. Näiden äskettäin luotujen tiedostojen nimi on "NightSkyReadMe.hta". Ne sisältävät lunnaita vaativan viestin, joka on räätälöity tietylle uhrille. Sellaisenaan jotkin yksityiskohdat, mukaan lukien lunnaiden määrä, voivat vaihdella. Nykyiset todisteet osoittavat, että toista Night Sky -operaation kahdesta nykyisestä uhrista on pyydetty maksamaan 800 000 dollaria saadakseen salauksenpurkutyökalun ja välttääkseen sen tietojen julkistamisen.
Lunnaat sisältävät myös kovakoodatut kirjautumistiedot kyberrikollisten neuvottelusivulle. Toisin kuin muut tämäntyyppiset hakkeriryhmät, Night Sky ei käytä Tor-verkkosivustoa viestintätarkoituksiin. Sen sijaan uhrit ohjataan normaalille verkkosivustolle, joka käyttää Rocket.Chatia. Uhrien tiedot sisältävän ryhmän vuotosivusto on kuitenkin todellakin isännöimä Tor-verkossa.
