Threat Database Ransomware Izsiljevalska programska oprema Night Sky

Izsiljevalska programska oprema Night Sky

Bonitetna ocena

Stopnja nevarnosti: 100 % (Visoko)
Okuženi računalniki: 4
Prvič viden: January 7, 2022
Nazadnje viden: April 26, 2023
Zadeti OS: Windows

Nekateri kibernetski kriminalci so se odločili, da si med počitnicami ne bodo privoščili odmora in se namesto tega osredotočili na iskanje novih žrtev za svoje napade z izsiljevalsko programsko opremo. Eno takšnih skupin sestavljajo hekerji, ki stojijo za novo odkrito grožnjo Night Sky Ransomware. To posebno zlonamerno programsko opremo so prvi opazili raziskovalci, ki verjamejo, da se je operacija Night Sky začela 27. decembra 2021. V dobrem tednu dni je grožnja Night Sky uspela okužiti dve podjetniški žrtvi, eno iz Japonske in eno iz Bangladeša.

Tehnične podrobnosti

Kot večina operacij izsiljevalske programske opreme, ki ciljajo na pravne osebe, tudi kibernetski kriminalci Night Sky Ransomware uporabljajo dve različni taktiki izsiljevanja. Zaklenejo ključne datoteke, shranjene na okuženih računalnikih, vendar ne preden jih izločijo na svoj strežnik. Nato žrtvam, ki ne želijo plačati zahtevane odkupnine, zagrozijo, da bodo zbrani podatki bodisi prodani konkurentom ali objavljeni javnosti prek namenskega mesta za uhajanje podatkov.

Kar se tiče same programske opreme Night Sky Ransomware, grožnja uporablja šifrirni algoritem, ki ga ni mogoče zlomiti, da zaklene veliko število vrst datotek. Edini, ki bodo ostali nedotaknjeni, so tisti z .dll. in razširitve .exe, saj lahko poseganje v njih povzroči okvaro operacijskega sistema v napravi ali kritične napake. Večinoma iz istega razloga se bo ransomware izognil tudi šifriranju seznama 30 posebej izbranih datotek in mappribližno. Ti vključujejo AppData, Boot, Windows, ProgramData, boot.ini, ntldr in še več. Vse druge datoteke bodo šifrirane in njihovem izvirnemu imenu bo dodano '.nightsky'.

Pregled opombe z odkupnino

Po končanem postopku šifriranja bo Night Sky Ransomware spustil datoteko z odkupnino v vsako mapo, ki vsebuje zaklenjene podatke. Te na novo ustvarjene datoteke bodo poimenovane »NightSkyReadMe.hta«. Vsebujejo sporočilo, ki zahteva odkupnino in je prilagojeno za določeno žrtev. Zato se lahko nekatere podrobnosti, vključno z zneskom odkupnine, razlikujejo. Trenutni dokazi kažejo, da je bila ena od dveh trenutnih žrtev operacij Nočnega neba pozvana, da plača 800.000 $, da bi prejela orodje za dešifriranje in se izognila objavi njegovih podatkov.

Opombe o odkupnini vsebujejo tudi trdo kodirane poverilnice za prijavo za stran za pogajanja kibernetskih kriminalcev. Za razliko od drugih hekerskih skupin te vrste, Night Sky ne uporablja spletnega mesta Tor za komunikacijske namene. Namesto tega so žrtve usmerjene na običajno spletno mesto, ki izvaja Rocket.Chat. Vendar pa mesto puščanja skupine, ki vsebuje podatke njihovih žrtev, dejansko gostuje v omrežju Tor.

V trendu

Najbolj gledan

Nalaganje...