Night Sky Ransomware
Scorekort för hot
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards är utvärderingsrapporter för olika skadliga hot som har samlats in och analyserats av vårt forskarteam. EnigmaSoft Threat Scorecards utvärderar och rangordnar hot med hjälp av flera mätvärden inklusive verkliga och potentiella riskfaktorer, trender, frekvens, prevalens och persistens. EnigmaSoft Threat Scorecards uppdateras regelbundet baserat på våra forskningsdata och mätvärden och är användbara för ett brett spektrum av datoranvändare, från slutanvändare som söker lösningar för att ta bort skadlig programvara från sina system till säkerhetsexperter som analyserar hot.
EnigmaSoft Threat Scorecards visar en mängd användbar information, inklusive:
Ranking: Rangordningen av ett visst hot i EnigmaSofts hotdatabas.
Allvarlighetsnivå: Den fastställda svårighetsgraden för ett objekt, representerad numeriskt, baserat på vår riskmodelleringsprocess och forskning, som förklaras i våra hotbedömningskriterier .
Infekterade datorer: Antalet bekräftade och misstänkta fall av ett visst hot som upptäckts på infekterade datorer som rapporterats av SpyHunter.
Se även Kriterier för hotbedömning .
Hotnivå: | 100 % (Hög) |
Infekterade datorer: | 4 |
Först sett: | January 7, 2022 |
Senast sedd: | April 26, 2023 |
Operativsystem som påverkas: | Windows |
Vissa cyberbrottslingar bestämde sig för att inte ta en paus runt semestern och istället fokusera på att hitta nya offer för sina ransomware-attacker. En sådan grupp består av hackarna bakom det nyupptäckta Night Sky Ransomware-hotet. Denna speciella skadliga programvara upptäcktes först av forskare som tror att Night Sky-operationen lanserades den 27 december 2021. På drygt en vecka senare har Night Sky-hotet lyckats infektera två företagsoffer, ett från Japan och ett från Bangladesh.
Tekniska detaljer
Liksom de flesta ransomware-operationer som riktar sig till företag, använder Night Sky Ransomware cyberbrottslingar också två olika utpressningstaktiker. De låser viktiga filer som är lagrade på de infekterade datorerna men inte innan de exfiltreras till sin egen server. Efteråt hotar de offren som inte är villiga att betala den begärda lösensumman att den insamlade informationen antingen kommer att säljas till konkurrenter eller släppas till allmänheten via en dedikerad läckagesida.
När det gäller själva Night Sky Ransomware använder hotet en oknäckbar krypteringsalgoritm för att låsa ett stort antal filtyper. De enda som kommer att vara intakta är de med .dll. och .exe-tillägg, eftersom manipulering med dem, kan göra att operativsystemet på enheten inte fungerar eller upplever kritiska fel. Mestadels av samma anledning kommer ransomwaren också undvika att kryptera en lista med 30 specifikt valda filer och mapparungefär. Dessa inkluderar AppData, Boot, Windows, ProgramData, boot.ini, ntldr och mer. Alla andra filer kommer att krypteras och har '.nightsky' tillagd till sina ursprungliga namn.
Ransom Notes översikt
Efter att ha slutfört sin krypteringsprocess kommer Night Sky Ransomware att släppa en lösennotisfil i varje mapp som innehåller låsta data. Dessa nyskapade filer kommer att heta 'NightSkyReadMe.hta.' De innehåller ett meddelande som kräver lösen som har anpassats för det specifika offret. Som sådan kan vissa detaljer, inklusive mängden lösen, variera. Aktuella bevis visar att ett av de två nuvarande offren för Night Sky-operationerna har blivit ombedd att betala $800 000 för att få ett dekrypteringsverktyg och undvika att dess data släpps.
Lösensedlarna innehåller också hårdkodade inloggningsuppgifter för cyberbrottslingarnas förhandlingssida. Till skillnad från andra hackergrupper av denna typ använder Night Sky inte en Tor-webbplats för kommunikationsändamål. Istället hänvisas offren till en vanlig webbplats som kör Rocket.Chat. Däremot finns läckageplatsen för gruppen som innehåller data från deras offer verkligen värd på Tor-nätverket.