Night Sky Ransomware
Bedreigingsscorekaart
EnigmaSoft Threat-scorekaart
EnigmaSoft Threat Scorecards zijn beoordelingsrapporten voor verschillende malwarebedreigingen die zijn verzameld en geanalyseerd door ons onderzoeksteam. EnigmaSoft Threat Scorecards evalueren en rangschikken bedreigingen met behulp van verschillende statistieken, waaronder reële en potentiële risicofactoren, trends, frequentie, prevalentie en persistentie. EnigmaSoft Threat Scorecards worden regelmatig bijgewerkt op basis van onze onderzoeksgegevens en statistieken en zijn nuttig voor een breed scala aan computergebruikers, van eindgebruikers die oplossingen zoeken om malware van hun systemen te verwijderen tot beveiligingsexperts die bedreigingen analyseren.
EnigmaSoft Threat Scorecards geven een verscheidenheid aan nuttige informatie weer, waaronder:
Rangschikking: de rangorde van een bepaalde bedreiging in de bedreigingsdatabase van EnigmaSoft.
Ernstniveau: het vastgestelde ernstniveau van een object, numeriek weergegeven, op basis van ons risicomodelleringsproces en onderzoek, zoals uitgelegd in onze dreigingsbeoordelingscriteria .
Geïnfecteerde computers: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers, zoals gerapporteerd door SpyHunter.
Zie ook Criteria voor dreigingsevaluatie .
| Dreigingsniveau: | 100 % (Hoog) |
| Geïnfecteerde computers: | 4 |
| Eerst gezien: | January 7, 2022 |
| Laatst gezien: | April 26, 2023 |
| Beïnvloede besturingssystemen: | Windows |
Sommige cybercriminelen besloten om geen pauze te nemen rond de feestdagen en zich in plaats daarvan te concentreren op het vinden van nieuwe slachtoffers voor hun ransomware-aanvallen. Een dergelijke groep bestaat uit de hackers achter de nieuw ontdekte Night Sky Ransomware-dreiging. Deze specifieke malware werd voor het eerst opgemerkt door onderzoekers die geloven dat de Night Sky-operatie op 27 december 2021 werd gelanceerd. In iets meer dan een week later is de Night Sky-dreiging erin geslaagd om twee zakelijke slachtoffers te infecteren, een uit Japan en een uit Bangladesh.
Technische details
Zoals de meeste ransomware-operaties die gericht zijn op bedrijfsentiteiten, gebruiken de Night Sky Ransomware-cybercriminelen ook twee verschillende afpersingstactieken. Ze vergrendelen cruciale bestanden die op de geïnfecteerde computers zijn opgeslagen, maar niet voordat ze ze naar hun eigen server hebben geëxfiltreerd. Daarna dreigen ze de slachtoffers die niet bereid zijn het geëiste losgeld te betalen dat de verzamelde gegevens ofwel aan concurrenten zullen worden verkocht of aan het publiek worden vrijgegeven via een speciale leksite.
Wat betreft de Night Sky Ransomware zelf, de dreiging gebruikt een onkraakbaar coderingsalgoritme om een groot aantal bestandstypen te vergrendelen. De enige die intact blijven, zijn die met .dll. en .exe-extensies, aangezien ermee wordt geknoeid, kan het besturingssysteem op het apparaat defect raken of kritieke fouten vertonen. Meestal om dezelfde reden, zal de ransomware ook voorkomen dat een lijst van 30 specifiek gekozen bestanden en mappen wordt versleuteldongeveer. Deze omvatten AppData, Boot, Windows, ProgramData, boot.ini, ntldr en meer. Alle andere bestanden worden versleuteld en hebben '.nightsky' toegevoegd aan hun oorspronkelijke naam.
Overzicht van losgeldbrief
Na het voltooien van het coderingsproces, zal de Night Sky Ransomware een losgeldbriefje in elke map met de vergrendelde gegevens plaatsen. Deze nieuw aangemaakte bestanden krijgen de naam 'NightSkyReadMe.hta'. Ze bevatten een bericht waarin om losgeld wordt gevraagd en dat is gepersonaliseerd voor het specifieke slachtoffer. Als zodanig kunnen sommige details, waaronder het bedrag van het losgeld, variëren. Het huidige bewijs toont aan dat een van de twee huidige slachtoffers van de Night Sky-operaties is gevraagd om $ 800.000 te betalen om een decryptortool te ontvangen en te voorkomen dat zijn gegevens worden vrijgegeven.
De losgeldnota's bevatten ook hardgecodeerde inloggegevens voor de onderhandelingspagina van de cybercriminelen. In tegenstelling tot andere hackergroepen van dit type gebruikt Night Sky geen Tor-website voor communicatiedoeleinden. In plaats daarvan worden slachtoffers doorverwezen naar een normale website waarop Rocket.Chat draait. De leksite van de groep die de gegevens van hun slachtoffers bevat, wordt echter wel degelijk gehost op het Tor-netwerk.
