Εκπρόσωπος της ransomware συμμορίας Knight φέρεται να πουλά τον source code της τρίτης έκδοσης του ransomware σε hacking forum.
Το Knight ransomware εμφανίστηκε στα τέλη Ιουλίου 2023 ως νέα επωνυμία της λειτουργίας Cyclops. Στοχεύει συστήματα Windows, macOS και Linux/ESXi.
Ερευνητές ασφαλείας της KELA εντόπισαν τη διαφήμιση πριν από δύο ημέρες σε hacking forum, από κάποιον που χρησιμοποιεί το ψευδώνυμο Cyclops (γνωστός ως εκπρόσωπος της συμμορίας ransomware Knight). Η διαφήμιση έλεγε ότι ο source code θα πωληθεί σε ένα μόνο άτομο, χωρίς όμως να δοθούν πληροφορίες για την τιμή.
Δείτε επίσης: Η PSI Software επιβεβαιώνει επίθεση ransomware
“Πουλώντας τον source code για το Knight 3.0 ransomware, θα πωληθεί ο source code του panel και του locker. Όλος ο source code ανήκει και γράφεται σε Glong C++“, λέει ο Cyclops στην ανάρτηση.
Η έκδοση 3.0 του locker Knight κυκλοφόρησε στις 5 Νοεμβρίου 2023, με 40% ταχύτερη κρυπτογράφηση, ένα νέο ESXi module και διάφορες άλλες βελτιώσεις.
Σχετικά με την πώληση, ο Cyclops είπε ότι θα δώσει προτεραιότητα σε αξιόπιστους χρήστες με κατάθεση και ότι η αγορά θα πραγματοποιηθεί μέσω ενός εγγυητή συναλλαγής είτε στο RAMP είτε στο XSS hacking forum.
Ο πωλητής έχει δημοσιεύσει διευθύνσεις επικοινωνίας για τις υπηρεσίες ανταλλαγής μηνυμάτων Jabber και TOX, ώστε οι πιθανοί αγοραστές να προσεγγίσουν τον πωλητή και να διαπραγματευτούν μια τελική συμφωνία.
Η KELA είπε στο BleepingComputer ότι το Jabber είναι νέο, αλλά το TOX ID που αναφέρεται στη δημοσίευση του φόρουμ είναι γνωστό και έχει συσχετιστεί προηγουμένως με το Knight ransomware.
Δείτε επίσης: LockBit ransomware: Συλλήψεις μελών και εργαλείο αποκρυπτογράφησης
Ο λόγος πίσω από την πώληση του source code για το Knight ransomware παραμένει ασαφής. Πάντως σύμφωνα με την KELA, δεν έχει εντοπιστεί δραστηριότητα των εκπροσώπων του ransomware σε forum, από τον Δεκέμβριο του 2023.
Επίσης, το site εκβιασμού θυμάτων είναι επί του παρόντος εκτός σύνδεσης, με το τελευταίο θύμα να αναφέρεται στις 8 Φεβρουαρίου. H ransomware συμμορία Knight ισχυρίζεται ότι από τον Ιούλιο του 2023, έχει παραβιάσει 50 οργανισμούς.
Με βάση τις λεπτομέρειες από την KELA, η λειτουργία ransomware Knight φαίνεται να έχει μείνει ανενεργή εδώ και λίγο καιρό, επομένως είναι πιθανή μια απόσυρση της ομάδας.
Τι σημαίνει η πώληση του source code του Knight ransomware;
Με την πώληση του κώδικα του ransomware, μπορεί να βρεθούμε αντιμέτωποι με νέες πιο επικίνδυνες επιθέσεις. Το Knight ransomware είναι ένα εξελιγμένο εργαλείο και ο αγοραστής του μπορεί να το βελτιώσει κι άλλο για να προκαλέσει μεγαλύτερη ζημιά στα θύματα. Ευτυχώς, θα πωληθεί μόνο σε ένα άτομο, οπότε δεν θα γίνει ευρεία εκμετάλλευση του source code, που θα μπορούσε να οδηγήσει στη δημιουργία πολλών νέων παραλλαγών και άρα σε δραστική αύξηση των επιθέσεων ransomware.
Δείτε επίσης: Cactus ransomware gang: Έκλεψε δεδομένα της Schneider Electric
Ωστόσο, υπάρχει ο κίνδυνος να δούμε νέες εκδόσεις του Knight ransomware, ακόμα πιο εξελιγμένες και δύσκολες στην αντιμετώπιση.
Σε αυτή τη φάση, είναι ζωτικής σημασίας τα άτομα και οι εταιρείες να πάρουν όλα τα προληπτικά μέτρα για να προστατευθούν. Αυτό μπορεί να περιλαμβάνει την προώθηση της εκπαίδευσης στην κυβερνοασφάλεια, την ενημέρωση του λογισμικού και των συστημάτων ασφάλειας, καθώς και τη δημιουργία αντιγράφων ασφαλείας.
Πηγή: www.bleepingcomputer.com