Izsiljevalska programska oprema Night Sky
Bonitetna ocena
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards so poročila o oceni različnih groženj zlonamerne programske opreme, ki jih je zbrala in analizirala naša raziskovalna skupina. EnigmaSoft Threat Scorecards ocenjujejo in razvrščajo grožnje z uporabo več meritev, vključno z dejavniki tveganja iz resničnega sveta in potencialnimi dejavniki tveganja, trendi, pogostostjo, razširjenostjo in obstojnostjo. EnigmaSoft Threat Scorecards se redno posodabljajo na podlagi naših raziskovalnih podatkov in meritev ter so uporabni za širok krog uporabnikov računalnikov, od končnih uporabnikov, ki iščejo rešitve za odstranitev zlonamerne programske opreme iz svojih sistemov, do varnostnih strokovnjakov, ki analizirajo grožnje.
EnigmaSoft Threat Scorecards prikazuje vrsto uporabnih informacij, vključno z:
Razvrstitev: Razvrstitev določene grožnje v zbirki podatkov o grožnjah EnigmaSoft.
Stopnja resnosti: določena stopnja resnosti predmeta, predstavljena številčno na podlagi našega procesa modeliranja tveganja in raziskav, kot je razloženo v naših Merilih za oceno groženj .
Okuženi računalniki: število potrjenih in domnevnih primerov določene grožnje, odkrite na okuženih računalnikih, kot poroča SpyHunter.
Glejte tudi Merila za oceno nevarnosti .
Stopnja nevarnosti: | 100 % (Visoko) |
Okuženi računalniki: | 4 |
Prvič viden: | January 7, 2022 |
Nazadnje viden: | April 26, 2023 |
Zadeti OS: | Windows |
Nekateri kibernetski kriminalci so se odločili, da si med počitnicami ne bodo privoščili odmora in se namesto tega osredotočili na iskanje novih žrtev za svoje napade z izsiljevalsko programsko opremo. Eno takšnih skupin sestavljajo hekerji, ki stojijo za novo odkrito grožnjo Night Sky Ransomware. To posebno zlonamerno programsko opremo so prvi opazili raziskovalci, ki verjamejo, da se je operacija Night Sky začela 27. decembra 2021. V dobrem tednu dni je grožnja Night Sky uspela okužiti dve podjetniški žrtvi, eno iz Japonske in eno iz Bangladeša.
Tehnične podrobnosti
Kot večina operacij izsiljevalske programske opreme, ki ciljajo na pravne osebe, tudi kibernetski kriminalci Night Sky Ransomware uporabljajo dve različni taktiki izsiljevanja. Zaklenejo ključne datoteke, shranjene na okuženih računalnikih, vendar ne preden jih izločijo na svoj strežnik. Nato žrtvam, ki ne želijo plačati zahtevane odkupnine, zagrozijo, da bodo zbrani podatki bodisi prodani konkurentom ali objavljeni javnosti prek namenskega mesta za uhajanje podatkov.
Kar se tiče same programske opreme Night Sky Ransomware, grožnja uporablja šifrirni algoritem, ki ga ni mogoče zlomiti, da zaklene veliko število vrst datotek. Edini, ki bodo ostali nedotaknjeni, so tisti z .dll. in razširitve .exe, saj lahko poseganje v njih povzroči okvaro operacijskega sistema v napravi ali kritične napake. Večinoma iz istega razloga se bo ransomware izognil tudi šifriranju seznama 30 posebej izbranih datotek in mappribližno. Ti vključujejo AppData, Boot, Windows, ProgramData, boot.ini, ntldr in še več. Vse druge datoteke bodo šifrirane in njihovem izvirnemu imenu bo dodano '.nightsky'.
Pregled opombe z odkupnino
Po končanem postopku šifriranja bo Night Sky Ransomware spustil datoteko z odkupnino v vsako mapo, ki vsebuje zaklenjene podatke. Te na novo ustvarjene datoteke bodo poimenovane »NightSkyReadMe.hta«. Vsebujejo sporočilo, ki zahteva odkupnino in je prilagojeno za določeno žrtev. Zato se lahko nekatere podrobnosti, vključno z zneskom odkupnine, razlikujejo. Trenutni dokazi kažejo, da je bila ena od dveh trenutnih žrtev operacij Nočnega neba pozvana, da plača 800.000 $, da bi prejela orodje za dešifriranje in se izognila objavi njegovih podatkov.
Opombe o odkupnini vsebujejo tudi trdo kodirane poverilnice za prijavo za stran za pogajanja kibernetskih kriminalcev. Za razliko od drugih hekerskih skupin te vrste, Night Sky ne uporablja spletnega mesta Tor za komunikacijske namene. Namesto tega so žrtve usmerjene na običajno spletno mesto, ki izvaja Rocket.Chat. Vendar pa mesto puščanja skupine, ki vsebuje podatke njihovih žrtev, dejansko gostuje v omrežju Tor.