Night Sky Ransomware
Karta wyników zagrożenia
Karta wyników zagrożeń EnigmaSoft
EnigmaSoft Threat Scorecards to raporty oceniające różne zagrożenia złośliwym oprogramowaniem, które zostały zebrane i przeanalizowane przez nasz zespół badawczy. EnigmaSoft Threat Scorecards ocenia i klasyfikuje zagrożenia przy użyciu kilku wskaźników, w tym rzeczywistych i potencjalnych czynników ryzyka, trendów, częstotliwości, rozpowszechnienia i trwałości. Karty oceny zagrożeń EnigmaSoft są regularnie aktualizowane na podstawie danych i wskaźników naszych badań i są przydatne dla szerokiego grona użytkowników komputerów, od użytkowników końcowych poszukujących rozwiązań do usuwania złośliwego oprogramowania ze swoich systemów po ekspertów ds. bezpieczeństwa analizujących zagrożenia.
Karty wyników zagrożeń EnigmaSoft wyświetlają wiele przydatnych informacji, w tym:
Ranking: Ranking konkretnego zagrożenia w bazie danych zagrożeń EnigmaSoft.
Poziom ważności: Określony poziom ważności obiektu, przedstawiony liczbowo, na podstawie naszego procesu modelowania ryzyka i badań, jak wyjaśniono w naszych Kryteriach oceny zagrożeń .
Zainfekowane komputery: liczba potwierdzonych i podejrzewanych przypadków określonego zagrożenia wykrytych na zainfekowanych komputerach według danych SpyHunter.
Zobacz także Kryteria oceny zagrożeń .
| Poziom zagrożenia: | 100 % (Wysoka) |
| Zainfekowane komputery: | 4 |
| Pierwszy widziany: | January 7, 2022 |
| Ostatnio widziany: | April 26, 2023 |
| Systemy operacyjne, których dotyczy problem: | Windows |
Niektórzy cyberprzestępcy postanowili nie robić sobie przerwy w okresie świątecznym i zamiast tego skupić się na poszukiwaniu nowych ofiar ataków ransomware. Jedna z takich grup składa się z hakerów stojących za nowo odkrytym zagrożeniem ransomware Night Sky. To konkretne złośliwe oprogramowanie zostało po raz pierwszy zauważone przez badaczy, którzy uważają, że operacja Night Sky została uruchomiona 27 grudnia 2021 r. Nieco ponad tydzień później zagrożenie Night Sky zdołało zainfekować dwie ofiary korporacyjne, jedną z Japonii i jedną z Bangladeszu.
Szczegóły techniczne
Podobnie jak większość operacji ransomware wymierzonych w podmioty korporacyjne, cyberprzestępcy Night Sky Ransomware stosują również dwie różne taktyki wymuszeń. Blokują kluczowe pliki przechowywane na zainfekowanych komputerach, ale nie przed eksfiltracją ich na własny serwer. Następnie grożą ofiarom, które nie chcą zapłacić żądanego okupu, że zebrane dane zostaną sprzedane konkurentom lub udostępnione publicznie za pośrednictwem dedykowanej strony wycieku.
Jeśli chodzi o samo ransomware Night Sky, zagrożenie wykorzystuje niemożliwy do złamania algorytm szyfrowania do blokowania ogromnej liczby typów plików. Jedyne, które pozostaną nienaruszone, to te z rozszerzeniem .dll. oraz rozszerzenia .exe, ponieważ manipulowanie nimi może spowodować nieprawidłowe działanie systemu operacyjnego urządzenia lub wystąpienie błędów krytycznych. Głównie z tego samego powodu oprogramowanie ransomware uniknie zaszyfrowania listy 30 specjalnie wybranych plików i folderówokoło. Należą do nich AppData, Boot, Windows, ProgramData, boot.ini, ntldr i inne. Wszystkie inne pliki zostaną zaszyfrowane, a do ich oryginalnych nazw zostanie dodany „.nightsky”.
Przegląd notatki o okupie
Po zakończeniu procesu szyfrowania Night Sky Ransomware upuszcza plik z żądaniem okupu w każdym folderze zawierającym zablokowane dane. Te nowo utworzone pliki będą miały nazwę „NightSkyReadMe.hta”. Zawierają wiadomość z żądaniem okupu, która została spersonalizowana dla konkretnej ofiary. W związku z tym niektóre szczegóły, w tym wysokość okupu, mogą się różnić. Aktualne dowody wskazują, że jedna z dwóch obecnych ofiar operacji Night Sky została poproszona o zapłacenie 800 000 USD za otrzymanie narzędzia deszyfrującego i uniknięcie ujawnienia jego danych.
Notatki dotyczące okupu zawierają również zakodowane dane logowania do strony negocjacji cyberprzestępców. W przeciwieństwie do innych grup hakerów tego typu, Night Sky nie używa strony internetowej Tor do celów komunikacyjnych. Zamiast tego ofiary są kierowane na normalną stronę internetową, na której działa Rocket.Chat. Jednak strona przecieku grupy, która zawiera dane ich ofiar, rzeczywiście znajduje się w sieci Tor.
