Μπήκε το νέο έτος, και μαζί του έρχεται και ένα νέο ransomware με το όνομα «Night Sky» που στοχεύει εταιρικά δίκτυα και κλέβει δεδομένα σε επιθέσεις διπλού εκβιασμού.
Δείτε επίσης: Η επίθεση ransomware FinalSite κλείνει χιλιάδες σχολικούς ιστότοπους
Σύμφωνα με το MalwareHunterteam, που εντόπισε πρώτο το νέο ransomware, η επιχείρηση Night Sky ξεκίνησε στις 27 Δεκεμβρίου και έκτοτε έχει δημοσιεύσει τα δεδομένα δύο θυμάτων.
Ένα από τα θύματα έλαβε μια αρχική απαίτηση λύτρων ύψους 800.000 δολαρίων για να αποκτήσει έναν αποκρυπτογραφητή και να μην δημοσιευτούν τα κλεμμένα δεδομένα.
Πώς το Night Sky κρυπτογραφεί τις συσκευές
Ένα δείγμα του ransomware Night Sky που είδε το BleepingComputer έχει προσαρμοστεί ώστε να περιέχει μια εξατομικευμένη σημείωση λύτρων και κωδικοποιημένα credentials σύνδεσης για πρόσβαση στη σελίδα διαπραγμάτευσης του θύματος.
Κατά την εκκίνηση, το ransomware θα κρυπτογραφήσει όλα τα αρχεία εκτός από αυτά που τελειώνουν με τις επεκτάσεις αρχείων .dll ή .exe.
Κατά την κρυπτογράφηση αρχείων, το Night Sky θα προσαρτήσει την επέκταση .nightsky στα κρυπτογραφημένα ονόματα αρχείων, όπως φαίνεται στην παρακάτω εικόνα.
Σε κάθε φάκελο ένα σημείωμα λύτρων με το όνομα NightSkyReadMe.hta περιέχει πληροφορίες που σχετίζονται με ό,τι κλάπηκε, email επικοινωνίας και hard coded credentials στη σελίδα διαπραγματεύσεων του θύματος.
Δείτε επίσης: Η ransomware συμμορία Lapsus$ “χτύπησε” την media εταιρεία Impresa
Αντί να χρησιμοποιεί έναν ιστότοπο Tor για να επικοινωνεί με τα θύματα, το Night Sky χρησιμοποιεί διευθύνσεις email και έναν καθαρό ιστότοπο που τρέχει το Rocket.Chat. Τα credentials χρησιμοποιούνται για τη σύνδεση στη διεύθυνση URL Rocket.Chat που παρέχεται στη σημείωση λύτρων.
Τακτική διπλού εκβιασμού
Μια κοινή τακτική που χρησιμοποιείται από τις επιχειρήσεις ransomware είναι η κλοπή μη κρυπτογραφημένων δεδομένων από τα θύματα πριν από την κρυπτογράφηση συσκευών στο δίκτυο.
Στη συνέχεια, οι απειλητικοί φορείς χρησιμοποιούν αυτά τα κλεμμένα δεδομένα σε μια στρατηγική «διπλού εκβιασμού», όπου απειλούν να διαρρεύσουν τα δεδομένα εάν δεν πληρωθούν τα λύτρα.
Δείτε επίσης: AvosLocker ransomware παραδίδει τον decryptor γιατί “χτύπησε” την αστυνομία
Για τη διαρροή δεδομένων των θυμάτων, το Night Sky δημιούργησε έναν ιστότοπο διαρροής δεδομένων Tor που περιλαμβάνει επί του παρόντος δύο θύματα, ένα από το Μπαγκλαντές και ένα άλλο από την Ιαπωνία.
Αν και δεν υπήρξε πολλή δραστηριότητα με τη νέα λειτουργία ransomware Night Sky, είναι κάτι που πρέπει να παρακολουθούμε καθώς μπαίνουμε στο νέο έτος.
Πηγή πληροφοριών: bleepingcomputer.com
