밤하늘 랜섬웨어

일부 사이버 범죄자는 휴일에 휴식을 취하지 않고 대신 랜섬웨어 공격의 새로운 희생자를 찾는 데 집중하기로 결정했습니다. 그러한 그룹 중 하나는 새로 발견된 Night Sky Ransomware 위협 배후의 해커로 구성됩니다. 이 특정 맬웨어는 Night Sky 작업이 2021년 12월 27일에 시작되었다고 믿는 연구원에 의해 처음 발견되었습니다. 불과 일주일 만에 Night Sky 위협은 일본과 방글라데시에서 각각 1명의 기업 피해자를 감염시키는 데 성공했습니다.

기술적 세부 사항

기업을 대상으로 하는 대부분의 랜섬웨어 작업과 마찬가지로 Night Sky 랜섬웨어 사이버 범죄자도 두 가지 갈취 전술을 사용합니다. 감염된 컴퓨터에 저장된 중요한 파일을 잠그지만 자신의 서버로 유출하기 전에는 잠그지 않습니다. 이후 그들은 수집된 데이터를 경쟁업체에 판매하거나 전용 유출 사이트를 통해 일반에 공개하겠다고 요구한 몸값을 지불하지 않으려는 피해자를 위협합니다.

Night Sky Ransomware 자체의 경우 이 위협 요소는 해독 불가능한 암호화 알고리즘을 사용하여 수많은 파일 형식을 잠급니다. 손상되지 않은 상태로 남아 있는 유일한 것은 .dll이 있는 것입니다. 및 .exe 확장자를 변조하면 장치의 운영 체제가 오작동하거나 심각한 오류가 발생할 수 있습니다. 대부분 같은 이유로 랜섬웨어는 특별히 선택한 30개의 파일 및 폴더 목록을 암호화하지 않습니다.약. 여기에는 AppData, Boot, Windows, ProgramData, boot.ini, ntldr 등이 포함됩니다. 다른 모든 파일은 암호화되고 원래 이름에 '.nightsky'가 추가됩니다.

랜섬노트 개요

암호화 프로세스를 완료한 후 Night Sky Ransomware는 잠긴 데이터가 포함된 모든 폴더에 랜섬 노트 파일을 드롭합니다. 새로 생성된 파일의 이름은 'NightSkyReadMe.hta'입니다. 여기에는 특정 피해자를 위해 개인화되어 몸값을 요구하는 메시지가 포함되어 있습니다. 따라서 몸값을 포함한 일부 세부 사항은 다를 수 있습니다. 현재 증거에 따르면 Night Sky 작전의 현재 피해자 2명 중 한 명이 암호 해독 도구를 받고 데이터가 공개되지 않도록 하기 위해 80만 달러를 지불하라는 요청을 받았습니다.

랜섬 노트에는 사이버 범죄자의 협상 페이지에 대한 하드코딩된 로그인 자격 증명도 포함되어 있습니다. 이러한 유형의 다른 해커 그룹과 달리 Night Sky는 통신 목적으로 Tor 웹사이트를 사용하지 않습니다. 대신 피해자는 Rocket.Chat을 실행하는 일반 웹사이트로 안내됩니다. 그러나 피해자의 데이터가 포함된 그룹의 유출 사이트는 실제로 Tor 네트워크에서 호스팅됩니다.