Night Sky Ransomware
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Classificação: A classificação de uma ameaça específica no banco de dados de ameaças da EnigmaSoft.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
Nível da Ameaça: | 100 % (Alto) |
Computadores infectados: | 4 |
Visto pela Primeira Vez: | January 7, 2022 |
Visto pela Última Vez: | April 26, 2023 |
SO (s) Afetados: | Windows |
Alguns cibercriminosos decidiram não fazer uma pausa nas férias e, em vez disso, se concentraram em encontrar novas vítimas para seus ataques de ransomware. Um desses grupos consiste nos hackers por trás da recém-descoberta ameaça Night Sky Ransomware. Esse malware específico foi detectado pela primeira vez por pesquisadores que acreditam que a operação do Night Sky foi lançada em 27 de dezembro de 2021. Pouco mais de uma semana depois, a ameaça Night Sky conseguiu infectar duas vítimas corporativas, uma do Japão e uma de Bangladesh.
Detalhes Técnicos
Como a maioria das operações de ransomware que visam entidades corporativas, os cibercriminosos do Night Sky Ransomware também usam duas táticas de extorsão diferentes. Eles bloqueiam arquivos cruciais armazenados nos computadores infectados, mas não antes de exportá-los para seu próprio servidor. Posteriormente, eles ameaçam as vítimas que não desejam pagar o resgate exigido de que os dados coletados serão vendidos aos concorrentes ou liberados ao público por meio de um site de vazamento dedicado.
Quanto ao Night Sky Ransomware em si, a ameaça usa um algoritmo de criptografia indecifrável para bloquear um grande número de tipos de arquivo. Os únicos que permanecerão intactos são aqueles com extensões .dll. e .exe, porque adulterá-los pode fazer com que o sistema operacional no dispositivo funcione mal ou experimente erros críticos. Principalmente pelo mesmo motivo, o ransomware também evitará criptografar uma lista de aproximadamente 30 arquivos e pastas especificamente escolhidos. Isso inclui AppData, Boot, Windows, ProgramData, boot.ini, ntldr e muito mais. Todos os outros arquivos serão criptografados e terão '.nightsky' anexado aos seus nomes originais.
Visão Geral da Nota de Resgate
Depois de completar seu processo de criptografia, o Night Sky Ransomware vai colocar um arquivo com a nota de resgate em cada pasta que contém os dados bloqueados. Esses arquivos recém-criados serão nomeados 'NightSkyReadMe.hta.' Eles contêm a mensagem do pedido de resgate que foi personalizada para a vítima específica. Como tal, alguns detalhes, incluindo o valor do resgate, podem variar. As evidências atuais mostram que uma das duas vítimas atuais das operações Night Sky foi solicitada a pagar $800.000 para receber uma ferramenta de descriptografia e evitar a divulgação de seus dados.
As notas de resgate também contêm credenciais de login codificadas para a página de negociação dos cibercriminosos. Ao contrário de outros grupos de hackers desse tipo, o Night Sky não usa um site do Tor para fins de comunicação. Em vez disso, as vítimas são direcionadas a um site normal que está executando o Rocket.Chat. No entanto, o site de vazamento do grupo que contém os dados de suas vítimas está de fato hospedado na rede Tor.