Программа-вымогатель ночного неба
Карта показателей угрозы
Карта оценки угроз EnigmaSoft
EnigmaSoft Threat Scorecards — это отчеты об оценке различных вредоносных программ, которые были собраны и проанализированы нашей исследовательской группой. EnigmaSoft Threat Scorecards оценивает и ранжирует угрозы, используя несколько показателей, включая реальные и потенциальные факторы риска, тенденции, частоту, распространенность и постоянство. EnigmaSoft Threat Scorecards регулярно обновляются на основе данных и показателей наших исследований и полезны для широкого круга пользователей компьютеров, от конечных пользователей, ищущих решения для удаления вредоносных программ из своих систем, до экспертов по безопасности, анализирующих угрозы.
EnigmaSoft Threat Scorecards отображает разнообразную полезную информацию, в том числе:
Рейтинг: рейтинг конкретной угрозы в базе данных угроз EnigmaSoft.
Уровень серьезности: определенный уровень серьезности объекта, представленный в числовом виде на основе нашего процесса моделирования рисков и исследований, как описано в наших критериях оценки угроз .
Зараженные компьютеры: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженной на зараженных компьютерах, по данным SpyHunter.
См. также Критерии оценки угроз .
| Уровень угрозы: | 100 % (Высокая) |
| Зараженные компьютеры: | 4 |
| Первый раз: | January 7, 2022 |
| Последний визит: | April 26, 2023 |
| ОС(а) Затронутые: | Windows |
Некоторые киберпреступники решили не отдыхать в праздничные дни и вместо этого сосредоточились на поиске новых жертв для своих атак программ-вымогателей. Одна из таких групп состоит из хакеров, стоящих за недавно обнаруженной угрозой-вымогателем Night Sky. Это конкретное вредоносное ПО было впервые обнаружено исследователями, которые считают, что операция Night Sky была запущена 27 декабря 2021 года. Чуть более недели спустя угрозе Night Sky удалось заразить двух корпоративных жертв, одну из Японии и одну из Бангладеш.
Технические детали
Как и большинство программ-вымогателей, нацеленных на корпоративные организации, киберпреступники Night Sky Ransomware также используют две разные тактики вымогательства. Они блокируют важные файлы, хранящиеся на зараженных компьютерах, но не раньше, чем эксфильтрируют их на свой собственный сервер. После этого они угрожают жертвам, не желающим платить требуемый выкуп, что собранные данные будут либо проданы конкурентам, либо опубликованы через специальный сайт утечки.
Что касается самой программы-вымогателя Night Sky, эта угроза использует невзламываемый алгоритм шифрования для блокировки огромного количества типов файлов. Единственные, которые останутся нетронутыми, это файлы с .dll. и .exe, так как их вмешательство может привести к сбоям в работе операционной системы на устройстве или возникновению критических ошибок. В основном по той же причине программа-вымогатель также избегает шифрования списка из 30 специально выбранных файлов и папок.примерно. К ним относятся AppData, Boot, Windows, ProgramData, boot.ini, ntldr и другие. Все остальные файлы будут зашифрованы, и к их исходным именам будет добавлено расширение «.nightsky».
Обзор Ransom Note
После завершения процесса шифрования программа-вымогатель Night Sky поместит файл с запиской о выкупе в каждую папку, содержащую заблокированные данные. Эти вновь созданные файлы будут называться NightSkyReadMe.hta. Они содержат сообщение с требованием выкупа, персонализированное для конкретной жертвы. Таким образом, некоторые детали, в том числе сумма выкупа, могут отличаться. Текущие данные показывают, что одной из двух нынешних жертв операций Night Sky было предложено заплатить 800 000 долларов, чтобы получить инструмент для расшифровки и избежать разглашения его данных.
Заметки о выкупе также содержат жестко запрограммированные учетные данные для входа на страницу переговоров киберпреступников. В отличие от других хакерских групп этого типа, Night Sky не использует сайт Tor для связи. Вместо этого жертвы перенаправляются на обычный веб-сайт, на котором работает Rocket.Chat. Однако сайт утечки группы, содержащий данные их жертв, действительно размещен в сети Tor.
