Prikaži glavni meni

Novi ransomware Knight krije se u mejlovima Tripadvisora

Opisi virusa, 15.08.2023, 09:00 AM

Ransomwareu Cyclops, koji se pojavio u maju ove godine, krajem jula je promenjeno ime u Knight ransomware. Pod tim nazivom ransomware se sada distribuira u okviru nove spam kampanje a potencijalnim žrtvama se šalju imejlovi koji izgledaju kao pritužbe TripAdvisoru.

Kada se Cyclops pojavio pre skoro tri meseca, operateri su počeli da regrutuju partnere za novi ransomware-as-a-service (RaaS) na hakerskom forumu RAMP.

Ponuđeni su enkriptori za Windows, macOS i Linux/ESXi. Operateri nude podružnicama i malver za krađu podataka za Windows i Linux, što se inače ne viđa u RaaS operacijama.

Pored “normalnih” enkriptora, operateri nude “lite” verziju za upotrebu u kampanjama masovne distribucije neželjene pošte koje ciljaju veliki broj korisnika. Ova verzija zahteva fiksni iznos otkupnine, tako da pregovora o visini otkupnine sa žrtvama nema.

Osim što su promenili ime ransomwarea, sajber-kriminalci su promenili i sajt za objavljivanje podataka ukradenih od žrtava. Trenutno nema navedenih žrtava niti ukradenih fajlova na sajtu Knight ransomwarea.

Mejlovi kojima se distribuira ransomware sadrže ZIP fajl pod nazivom „TripAdvisorComplaint.zip“ koji sadrži izvršni fajl pod nazivom „TripAdvisor Complaint - Possible Suspension.exe“. Novija verzija ove kampanje umesto ZIP fajla uključuje HTML fajl.

Kada šifruje fajlove, Knight će nazivima šifrovanih fajlova dodati ekstenziju .knight_l, gde “l” verovatno znači “lite”.

Ransomware će ostaviti obaveštenje o otkupnini sa instrukcijama kako da vratite svoje fajlove. U ovoj najnovijoj kampanji od žrtava se zahteva da 5.000 dolara pošalju na navedenu Bitcoin adresu, a obaveštenje u txt fajlu sadrži link do Knight Tor sajta.

Zanimljivo je da je u svakoj poruci o otkupnini u ovoj kampanji ista Bitcoin adresa, što znači da napadači ne mogu da znaju koja je žrtva platila otkup. Na sajtu nema panela za pregovore. Umesto toga, prikazuje se poruka u kojoj se navodi da žrtve treba da plate otkupninu i da tada kontaktiraju napadače na brahma2023@onionmail.org.

U ovom trenutku nije poznato da li bi plaćanje otkupnine rezultiralo dešifrovanjem fajlova. Zato se žrtvama preporučuje da se uzdrže od plaćanja otkupnine, jer postoji velika šansa da neće dobiti dešifrator.