Night Sky Ransomware

一些网络犯罪分子决定不在假期休息，而是专注于为他们的勒索软件攻击寻找新的受害者。其中一个小组由新发现的夜空勒索软件威胁背后的黑客组成。研究人员首先发现了这种特殊的恶意软件，他们认为夜空行动于 2021 年 12 月 27 日启动。仅仅一个多星期后，夜空威胁就成功感染了两名企业受害者，一名来自日本，一名来自孟加拉国。

技术细节

与大多数针对企业实体的勒索软件操作一样，夜空勒索软件网络犯罪分子也使用两种不同的勒索策略。他们锁定存储在受感染计算机上的关键文件，但在将它们泄露到自己的服务器之前不会。之后，他们威胁不愿支付赎金的受害者，将收集的数据出售给竞争对手或通过专门的泄密站点向公众发布。

至于 Night Sky Ransomware 本身，该威胁使用不可破解的加密算法来锁定大量文件类型。唯一会保持原样的是那些带有 .dll 的。和 .exe 扩展名，因为篡改它们，可能会导致设备上的操作系统发生故障或遇到严重错误。出于同样的原因，勒索软件还将避免加密 30 个特别选择的文件和文件夹的列表大约。其中包括 AppData、Boot、Windows、ProgramData、boot.ini、ntldr 等。所有其他文件都将被加密，并在其原始名称后附加“.nightsky”。

赎金票据概述

完成加密过程后，Night Sky Ransomware 将在每个包含锁定数据的文件夹中放置一个赎金记录文件。这些新创建的文件将命名为“NightSkyReadMe.hta”。它们包含针对特定受害者个性化的要求赎金的消息。因此，包括赎金金额在内的一些细节可能会有所不同。目前的证据表明，夜空行动的两名当前受害者之一已被要求支付 800,000 美元以获得解密工具并避免其数据被泄露。

赎金记录还包含网络犯罪分子谈判页面的硬编码登录凭据。与其他此类黑客组织不同，Night Sky 不使用 Tor 网站进行交流。相反，受害者被引导到一个运行 Rocket.Chat 的普通网站。然而，包含受害者数据的组的泄漏站点确实托管在 Tor 网络上。