Night Sky Ransomware
Cartoncino segnapunti di minaccia
Scheda di valutazione delle minacce di EnigmaSoft
Le EnigmaSoft Threat Scorecard sono rapporti di valutazione per diverse minacce malware che sono state raccolte e analizzate dal nostro team di ricerca. Le EnigmaSoft Threat Scorecard valutano e classificano le minacce utilizzando diverse metriche tra cui fattori di rischio reali e potenziali, tendenze, frequenza, prevalenza e persistenza. Le EnigmaSoft Threat Scorecard vengono aggiornate regolarmente in base ai dati e alle metriche della nostra ricerca e sono utili per un'ampia gamma di utenti di computer, dagli utenti finali che cercano soluzioni per rimuovere il malware dai loro sistemi agli esperti di sicurezza che analizzano le minacce.
Le schede di valutazione delle minacce di EnigmaSoft mostrano una serie di informazioni utili, tra cui:
Classifica: la classifica di una particolare minaccia nel database delle minacce di EnigmaSoft.
Livello di gravità: il livello di gravità determinato di un oggetto, rappresentato numericamente, in base al nostro processo di modellazione del rischio e alla nostra ricerca, come spiegato nei nostri criteri di valutazione delle minacce .
Computer infetti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
Vedere anche Criteri di valutazione delle minacce .
Livello di minaccia: | 100 % (Alto) |
Computer infetti: | 4 |
Visto per la prima volta: | January 7, 2022 |
Ultima visualizzazione: | April 26, 2023 |
Sistemi operativi interessati: | Windows |
Alcuni criminali informatici hanno deciso di non prendersi una pausa durante le vacanze e di concentrarsi invece sulla ricerca di nuove vittime per i loro attacchi ransomware. Uno di questi gruppi è costituito dagli hacker dietro la minaccia Night Sky Ransomware appena scoperta. Questo particolare malware è stato individuato per la prima volta da ricercatori che ritengono che l'operazione Night Sky sia stata lanciata il 27 dicembre 2021. In poco più di una settimana, la minaccia Night Sky è riuscita a infettare due vittime aziendali, una dal Giappone e una dal Bangladesh.
Dettagli tecnici
Come la maggior parte delle operazioni di ransomware rivolte a entità aziendali, anche i criminali informatici di Night Sky Ransomware utilizzano due diverse tattiche di estorsione. Bloccano i file cruciali archiviati sui computer infetti ma non prima di esfiltrarli sul proprio server. In seguito, minacciano le vittime che non sono disposte a pagare il riscatto richiesto che i dati raccolti verranno venduti ai concorrenti o resi pubblici tramite un sito di divulgazione dedicato.
Per quanto riguarda lo stesso Night Sky Ransomware, la minaccia utilizza un algoritmo di crittografia non decifrabile per bloccare un vasto numero di tipi di file. Gli unici che rimarranno intatti sono quelli con .dll. e le estensioni .exe, poiché la loro manomissione potrebbe causare il malfunzionamento del sistema operativo sul dispositivo o causare errori critici. Principalmente per lo stesso motivo, il ransomware eviterà anche di crittografare un elenco di 30 file e cartelle scelti appositamentecirca. Questi includono AppData, Boot, Windows, ProgramData, boot.ini, ntldr e altro. Tutti gli altri file verranno crittografati e avranno '.nightsky' aggiunto ai loro nomi originali.
Panoramica della nota di riscatto
Dopo aver completato il processo di crittografia, Night Sky Ransomware rilascerà un file di richiesta di riscatto in ogni cartella contenente i dati bloccati. Questi file appena creati saranno denominati 'NightSkyReadMe.hta.' Contengono un messaggio di richiesta di riscatto che è stato personalizzato per la vittima specifica. Pertanto, alcuni dettagli, incluso l'importo del riscatto, potrebbero variare. Le prove attuali mostrano che a una delle due attuali vittime delle operazioni di Night Sky è stato chiesto di pagare $ 800.000 per ricevere uno strumento di decrittografia ed evitare che i suoi dati vengano rilasciati.
Le richieste di riscatto contengono anche credenziali di accesso codificate per la pagina di negoziazione dei criminali informatici. A differenza di altri gruppi di hacker di questo tipo, Night Sky non utilizza un sito Tor per scopi di comunicazione. Invece, le vittime sono dirette verso un normale sito Web che esegue Rocket.Chat. Tuttavia, il sito di fuga del gruppo che contiene i dati delle loro vittime è infatti ospitato sulla rete Tor.