Night Sky Ransomware
Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartları, araştırma ekibimiz tarafından toplanan ve analiz edilen farklı kötü amaçlı yazılım tehditleri için değerlendirme raporlarıdır. EnigmaSoft Tehdit Puan Kartları, gerçek dünya ve potansiyel risk faktörleri, eğilimler, sıklık, yaygınlık ve kalıcılık dahil olmak üzere çeşitli ölçümleri kullanarak tehditleri değerlendirir ve sıralar. EnigmaSoft Tehdit Puan Kartları, araştırma verilerimize ve ölçümlerimize dayalı olarak düzenli olarak güncellenir ve kötü amaçlı yazılımları sistemlerinden kaldırmak için çözümler arayan son kullanıcılardan tehditleri analiz eden güvenlik uzmanlarına kadar çok çeşitli bilgisayar kullanıcıları için yararlıdır.
EnigmaSoft Tehdit Puan Kartları, aşağıdakiler de dahil olmak üzere çeşitli yararlı bilgiler görüntüler:
Sıralama: Belirli bir tehdidin EnigmaSoft'un Tehdit Veritabanındaki sıralaması.
Önem Düzeyi: Tehdit Değerlendirme Kriterlerimizde açıklandığı gibi, risk modelleme sürecimize ve araştırmamıza dayalı olarak sayısal olarak gösterilen, bir nesnenin belirlenen önem düzeyi.
Enfekte Bilgisayarlar: SpyHunter tarafından bildirildiği üzere, virüslü bilgisayarlarda tespit edilen belirli bir tehdidin doğrulanmış ve şüphelenilen vakalarının sayısı.
Ayrıca bkz. Tehdit Değerlendirme Kriterleri .
| Tehlike seviyesi: | 100 % (Yüksek) |
| Etkilenen Bilgisayarlar: | 4 |
| İlk görüş: | January 7, 2022 |
| Son görülen: | April 26, 2023 |
| Etkilenen İşletim Sistemleri: | Windows |
Bazı siber suçlular tatil günlerinde ara vermemeye ve bunun yerine fidye yazılımı saldırıları için yeni kurbanlar bulmaya odaklanmaya karar verdi. Böyle bir grup, yeni keşfedilen Night Sky Ransomware tehdidinin arkasındaki bilgisayar korsanlarından oluşur. Bu özel kötü amaçlı yazılım ilk olarak Night Sky operasyonunun 27 Aralık 2021'de başlatıldığına inanan araştırmacılar tarafından tespit edildi. Bir haftadan biraz uzun bir süre sonra Night Sky tehdidi biri Japonya'dan diğeri Bangladeş'ten olmak üzere iki kurumsal kurbana bulaşmayı başardı.
Teknik detaylar
Kurumsal varlıkları hedef alan çoğu fidye yazılımı operasyonu gibi, Night Sky Ransomware siber suçluları da iki farklı gasp taktiği kullanır. Virüs bulaşmış bilgisayarlarda depolanan önemli dosyaları kilitlerler, ancak bunları kendi sunucularına sızdırmadan önce değil. Ardından, talep edilen fidyeyi ödemeye isteksiz olan mağdurları, toplanan verilerin rakiplere satılacağı veya özel bir sızıntı sitesi aracılığıyla halka açıklanacağı yönünde tehdit ediyorlar.
Night Sky Ransomware'in kendisine gelince, tehdit çok sayıda dosya türünü kilitlemek için kırılmaz bir şifreleme algoritması kullanıyor. Sağlam kalacak olanlar sadece .dll olanlardır. ve .exe uzantılarının kurcalanması, cihazdaki işletim sisteminin arızalanmasına veya kritik hatalar yaşanmasına neden olabilir. Çoğunlukla aynı nedenle, fidye yazılımı ayrıca özel olarak seçilmiş 30 dosya ve klasör listesini şifrelemekten kaçınacaktır.aşağı yukarı. Bunlara AppData, Boot, Windows, ProgramData, boot.ini, ntldr ve daha fazlası dahildir. Diğer tüm dosyalar şifrelenecek ve orijinal adlarına '.nightsky' eklenecektir.
Fidye Notu'na Genel Bakış
Şifreleme işlemini tamamladıktan sonra, Night Sky Ransomware kilitli verileri içeren her klasöre bir fidye notu dosyası bırakacaktır. Bu yeni oluşturulan dosyalar 'NightSkyReadMe.hta' olarak adlandırılacaktır. Belirli kurban için kişiselleştirilmiş fidye talep eden bir mesaj içerirler. Bu nedenle, fidye miktarı da dahil olmak üzere bazı ayrıntılar değişebilir. Mevcut kanıtlar, Night Sky operasyonlarının mevcut iki kurbanından birinin, bir şifre çözücü aracı almak ve verilerinin açığa çıkmasını önlemek için 800.000 dolar ödemesinin istendiğini gösteriyor.
Fidye notları, siber suçluların müzakere sayfası için sabit kodlanmış oturum açma kimlik bilgilerini de içerir. Bu türdeki diğer hacker gruplarının aksine Night Sky, iletişim amacıyla bir Tor web sitesi kullanmaz. Bunun yerine, kurbanlar Rocket.Chat çalıştıran normal bir web sitesine yönlendirilir. Ancak grubun kurbanlarının verilerini içeren sızıntı sitesi gerçekten de Tor ağında barındırılıyor.
