Night Sky Ransomware
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for ulike malware-trusler som er samlet inn og analysert av vårt forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjelp av flere beregninger, inkludert reelle og potensielle risikofaktorer, trender, frekvens, utbredelse og utholdenhet. EnigmaSoft Threat Scorecards oppdateres regelmessig basert på våre forskningsdata og beregninger og er nyttige for et bredt spekter av databrukere, fra sluttbrukere som søker løsninger for å fjerne skadelig programvare fra systemene deres til sikkerhetseksperter som analyserer trusler.
EnigmaSoft Threat Scorecards viser en rekke nyttig informasjon, inkludert:
Rangering: Rangeringen av en bestemt trussel i EnigmaSofts trusseldatabase.
Alvorlighetsnivå: Det fastslåtte alvorlighetsnivået til et objekt, representert numerisk, basert på vår risikomodelleringsprosess og forskning, som forklart i våre trusselvurderingskriterier .
Infiserte datamaskiner: Antall bekreftede og mistenkte tilfeller av en bestemt trussel oppdaget på infiserte datamaskiner som rapportert av SpyHunter.
Se også Kriterier for trusselvurdering .
| Trusselnivå: | 100 % (Høy) |
| Infiserte datamaskiner: | 4 |
| Først sett: | January 7, 2022 |
| Sist sett: | April 26, 2023 |
| OS(er) berørt: | Windows |
Noen nettkriminelle bestemte seg for å ikke ta en pause rundt høytidene og i stedet fokusere på å finne nye ofre for deres løsepengeprogram. En slik gruppe består av hackerne bak den nylig oppdagede Night Sky Ransomware-trusselen. Denne spesielle skadevare ble først oppdaget av forskere som mener at Night Sky-operasjonen ble lansert 27. desember 2021. I løpet av en drøy uke senere har Night Sky-trusselen klart å infisere to bedriftsofre, ett fra Japan og ett fra Bangladesh.
Tekniske detaljer
Som de fleste løsepengevareoperasjoner rettet mot bedriftsenheter, bruker Night Sky Ransomware cyberkriminelle også to forskjellige utpressingstaktikker. De låser viktige filer som er lagret på de infiserte datamaskinene, men ikke før de eksfiltrerer dem til deres egen server. Etterpå truer de ofrene som ikke er villige til å betale den krevde løsepengen, at de innsamlede dataene enten vil bli solgt til konkurrenter eller frigitt til offentligheten via en dedikert lekkasjeside.
Når det gjelder selve Night Sky Ransomware, bruker trusselen en krypteringsalgoritme som ikke kan knekkes for å låse et stort antall filtyper. De eneste som vil forbli intakte er de med .dll. og .exe-utvidelser, som tukling med dem, kan føre til at operativsystemet på enheten ikke fungerer eller opplever kritiske feil. For det meste av samme grunn, vil løsepengevaren også unngå å kryptere en liste med 30 spesifikt valgte filer og mapperomtrent. Disse inkluderer AppData, Boot, Windows, ProgramData, boot.ini, ntldr og mer. Alle andre filer vil være kryptert og har '.nightsky' lagt til sine opprinnelige navn.
Ransom Notes oversikt
Etter å ha fullført krypteringsprosessen, vil Night Sky Ransomware slippe en løsepengefil i hver mappe som inneholder de låste dataene. Disse nyopprettede filene vil få navnet 'NightSkyReadMe.hta.' De inneholder en løsepengekrevende melding som er tilpasset det spesifikke offeret. Som sådan kan noen detaljer, inkludert beløpet på løsepenger, variere. Aktuelle bevis viser at et av de to nåværende ofrene for Night Sky-operasjonene har blitt bedt om å betale $800 000 for å motta et dekrypteringsverktøy og unngå å få utgitt data.
Løsepengene inneholder også hardkodet påloggingsinformasjon for nettkriminelles forhandlingsside. I motsetning til andre hackergrupper av denne typen, bruker ikke Night Sky et Tor-nettsted for kommunikasjonsformål. I stedet blir ofrene rettet mot en vanlig nettside som kjører Rocket.Chat. Imidlertid er lekkasjesiden til gruppen som inneholder dataene til ofrene deres, faktisk vert på Tor-nettverket.
