Representative of the ransomware συμμορίας Knight allegedly πουλά τον source code της τρίτης έκδοσης του ransomware σε hacking forum.
Το Knight ransomware εμφανίστηκε στα τέλη Ιουλίου 2023 ως νέα επωνυμία της λειτουργίας Cyclops. Στοχεύει συστήματα Windows, macOS και Linux/ESXi.
Security investigators from KELA εντόπισαν τη διαφήμιση πριν από δύο ημέρες σε hacking forum, από κάποιον που χρησιμοποιεί το ψευδώνυμο Cyclops (γνωστός ως εκπρόσωπος της συμμορίας ransomware Knight). Η διαφήμιση έλεγε ότι ο source code θα πωληθεί σε ένα μόνο άτομο, χωρίς όμως να δοθούν πληροφορίες για την τιμή.
See also: PSI Software confirms ransomware attack
“Πουλώντας τον source code για το Knight 3.0 ransomware, θα πωληθεί ο source code του panel και του locker. Όλος ο source code ανήκει και γράφεται σε Glong C++“, λέει ο Cyclops στην ανάρτηση.
Η έκδοση 3.0 του locker Knight κυκλοφόρησε στις 5 Νοεμβρίου 2023, με 40% ταχύτερη κρυπτογράφηση, ένα νέο ESXi module και διάφορες άλλες βελτιώσεις.
Σχετικά με την πώληση, ο Cyclops είπε ότι θα δώσει προτεραιότητα σε αξιόπιστους users με κατάθεση και ότι η αγορά θα πραγματοποιηθεί μέσω ενός εγγυητή συναλλαγής είτε στο RAMP είτε στο XSS hacking forum.
Ο πωλητής έχει δημοσιεύσει διευθύνσεις επικοινωνίας για τις υπηρεσίες ανταλλαγής Messages Jabber and TOX, ώστε οι πιθανοί αγοραστές να προσεγγίσουν τον πωλητή και να διαπραγματευτούν μια τελική συμφωνία.
Η KELA είπε στο BleepingComputer ότι το Jabber είναι νέο, αλλά το TOX ID που αναφέρεται στη δημοσίευση του φόρουμ είναι γνωστό και έχει συσχετιστεί προηγουμένως με το Knight ransomware.
See also: LockBit ransomware: member arrests and decryption tool
Ο λόγος πίσω από την πώληση του source code για το Knight ransomware παραμένει ασαφής. Πάντως σύμφωνα με την KELA, δεν έχει εντοπιστεί δραστηριότητα των εκπροσώπων του ransomware σε forum, από τον Δεκέμβριο του 2023.
Also, the site εκβιασμού θυμάτων είναι επί του παρόντος εκτός σύνδεσης, με το τελευταίο θύμα να αναφέρεται στις 8 Φεβρουαρίου. H ransomware συμμορία Knight ισχυρίζεται ότι από τον Ιούλιο του 2023, έχει παραβιάσει 50 Organisations.
Με βάση τις λεπτομέρειες από την KELA, η λειτουργία ransomware Knight φαίνεται να έχει μείνει ανενεργή εδώ και λίγο καιρό, επομένως είναι πιθανή μια απόσυρση της ομάδας.
Τι σημαίνει η πώληση του source code του Knight ransomware;
Με την πώληση του κώδικα του ransomware, μπορεί να βρεθούμε αντιμέτωποι με νέες πιο επικίνδυνες επιθέσεις. Το Knight ransomware είναι ένα εξελιγμένο tool και ο αγοραστής του μπορεί να το βελτιώσει κι άλλο για να προκαλέσει μεγαλύτερη ζημιά στα θύματα. Ευτυχώς, θα πωληθεί μόνο σε ένα άτομο, οπότε δεν θα γίνει ευρεία εκμετάλλευση του source code, που θα μπορούσε να οδηγήσει στη δημιουργία πολλών νέων παραλλαγών και άρα σε δραστική αύξηση των επιθέσεων ransomware.
See also: Cactus ransomware gang: Έκλεψε δεδομένα της Schneider Electric
Ωστόσο, υπάρχει ο κίνδυνος να δούμε νέες εκδόσεις του Knight ransomware, ακόμα πιο εξελιγμένες και δύσκολες στην αντιμετώπιση.
Σε αυτή τη φάση, είναι ζωτικής σημασίας τα άτομα και οι εταιρείες να πάρουν όλα τα προληπτικά μέτρα για να προστατευθούν. Αυτό μπορεί να περιλαμβάνει την προώθηση της εκπαίδευσης στην cybersecurity, την ενημέρωση του λογισμικού και των συστημάτων Security, καθώς και τη δημιουργία αντιγράφων ασφαλείας.
Source : www.bleepingcomputer.com