Night Sky Ransomware
खतरा स्कोरकार्ड
एनिग्मा सॉफ्ट थ्रेट स्कोरकार्ड
EnigmaSoft थ्रेट स्कोरकार्ड विभिन्न मैलवेयर खतरों के लिए मूल्यांकन रिपोर्ट हैं जिन्हें हमारी शोध टीम द्वारा एकत्र और विश्लेषण किया गया है। EnigmaSoft थ्रेट स्कोरकार्ड वास्तविक दुनिया और संभावित जोखिम कारकों, प्रवृत्तियों, आवृत्ति, व्यापकता और दृढ़ता सहित कई मैट्रिक्स का उपयोग करके खतरों का मूल्यांकन और रैंक करता है। EnigmaSoft थ्रेट स्कोरकार्ड हमारे शोध डेटा और मेट्रिक्स के आधार पर नियमित रूप से अपडेट किए जाते हैं और कंप्यूटर उपयोगकर्ताओं की एक विस्तृत श्रृंखला के लिए उपयोगी होते हैं, अंतिम उपयोगकर्ताओं से लेकर सुरक्षा विशेषज्ञों तक खतरों का विश्लेषण करने के लिए अपने सिस्टम से मैलवेयर हटाने के लिए समाधान खोजते हैं।
EnigmaSoft थ्रेट स्कोरकार्ड विभिन्न प्रकार की उपयोगी जानकारी प्रदर्शित करते हैं, जिनमें शामिल हैं:
रैंकिंग: EnigmaSoft के थ्रेट डेटाबेस में किसी विशेष खतरे की रैंकिंग।
गंभीरता स्तर: हमारी जोखिम मॉडलिंग प्रक्रिया और अनुसंधान के आधार पर, जैसा कि हमारे खतरा आकलन मानदंड में बताया गया है, किसी वस्तु का निर्धारित गंभीरता स्तर, संख्यात्मक रूप से दर्शाया गया है।
संक्रमित कंप्यूटर: स्पाईहंटर द्वारा रिपोर्ट की गई संक्रमित कंप्यूटरों पर पाए गए किसी विशेष खतरे के पुष्ट और संदिग्ध मामलों की संख्या।
खतरा आकलन मानदंड भी देखें।
ख़तरा स्तर: | 100 % (उच्च) |
संक्रमित कंप्यूटर: | 4 |
पहले देखा: | January 7, 2022 |
अंतिम बार देखा गया: | April 26, 2023 |
ओएस (एस) प्रभावित: | Windows |
कुछ साइबर अपराधियों ने छुट्टियों के दौरान छुट्टी नहीं लेने का फैसला किया और इसके बजाय अपने रैंसमवेयर हमलों के लिए नए शिकार खोजने पर ध्यान केंद्रित किया। ऐसे ही एक समूह में नए खोजे गए नाइट स्काई रैनसमवेयर खतरे के पीछे हैकर शामिल हैं। इस विशेष मैलवेयर को पहली बार शोधकर्ताओं ने देखा था, जो मानते हैं कि नाइट स्काई ऑपरेशन 27 दिसंबर, 2021 को शुरू किया गया था। एक हफ्ते बाद ही, नाइट स्काई खतरे ने दो कॉर्पोरेट पीड़ितों को संक्रमित करने में कामयाबी हासिल की, एक जापान से और एक बांग्लादेश से।
टेक्निकल डिटेल
कॉर्पोरेट संस्थाओं को लक्षित करने वाले अधिकांश रैंसमवेयर संचालन की तरह, नाइट स्काई रैनसमवेयर साइबर अपराधी भी दो अलग-अलग जबरन वसूली रणनीति का उपयोग करते हैं। वे संक्रमित कंप्यूटरों पर संग्रहीत महत्वपूर्ण फाइलों को लॉक कर देते हैं, लेकिन उन्हें अपने सर्वर पर निकालने से पहले नहीं। बाद में, वे पीड़ितों को फिरौती की मांग करने के लिए अनिच्छुक होने की धमकी देते हैं कि एकत्रित डेटा या तो प्रतियोगियों को बेच दिया जाएगा या एक समर्पित लीक साइट के माध्यम से जनता को जारी किया जाएगा।
नाइट स्काई रैंसमवेयर के लिए ही, खतरा बड़ी संख्या में फ़ाइल प्रकारों को लॉक करने के लिए एक अचूक एन्क्रिप्शन एल्गोरिथ्म का उपयोग करता है। केवल वही बचे रहेंगे जो .dll वाले हैं। और .exe एक्सटेंशन, उनके साथ छेड़छाड़ करने पर, डिवाइस के ऑपरेटिंग सिस्टम में खराबी या गंभीर त्रुटियों का अनुभव कर सकते हैं। अधिकतर इसी कारण से, रैंसमवेयर भी 30 विशेष रूप से चुनी गई फ़ाइलों और फ़ोल्डरों की सूची को एन्क्रिप्ट करने से बच जाएगालगभग। इनमें AppData, Boot, Windows, ProgramData, boot.ini, ntldr और बहुत कुछ शामिल हैं। अन्य सभी फाइलों को एन्क्रिप्ट किया जाएगा और उनके मूल नामों के साथ '.nightsky' जोड़ा जाएगा।
फिरौती नोट का अवलोकन
अपनी एन्क्रिप्शन प्रक्रिया को पूरा करने के बाद, नाइट स्काई रैनसमवेयर लॉक किए गए डेटा वाले प्रत्येक फ़ोल्डर में एक फिरौती नोट फ़ाइल छोड़ देगा। इन नव-निर्मित फ़ाइलों का नाम 'NightSkyReadMe.hta' रखा जाएगा। उनमें एक फिरौती मांगने वाला संदेश होता है जिसे विशिष्ट पीड़ित के लिए वैयक्तिकृत किया गया है। इसलिए, फिरौती की रकम समेत कुछ ब्यौरे अलग-अलग हो सकते हैं। वर्तमान साक्ष्य से पता चलता है कि नाइट स्काई संचालन के दो मौजूदा पीड़ितों में से एक को डिक्रिप्टर उपकरण प्राप्त करने और इसके डेटा को जारी करने से बचने के लिए $800,000 का भुगतान करने के लिए कहा गया है।
फिरौती के नोटों में साइबर अपराधियों के वार्ता पृष्ठ के लिए हार्डकोडेड लॉगिन क्रेडेंशियल भी होते हैं। इस प्रकार के अन्य हैकर समूहों के विपरीत, नाइट स्काई संचार उद्देश्यों के लिए टोर वेबसाइट का उपयोग नहीं करता है। इसके बजाय, पीड़ितों को एक सामान्य वेबसाइट की ओर निर्देशित किया जाता है जो Rocket.Chat चला रही है। हालाँकि, समूह की लीक साइट जिसमें उनके पीड़ितों का डेटा होता है, वास्तव में टोर नेटवर्क पर होस्ट की जाती है।