Novi ransomware Knight krije se u mejlovima Tripadvisora

Opisi virusa, 15.08.2023, 09:00 AM

Novi ransomware Knight krije se u mejlovima Tripadvisora

Ransomwareu Cyclops, koji se pojavio u maju ove godine, krajem jula je promenjeno ime u Knight ransomware. Pod tim nazivom ransomware se sada distribuira u okviru nove spam kampanje a potencijalnim žrtvama se šalju imejlovi koji izgledaju kao pritužbe TripAdvisoru.

Kada se Cyclops pojavio pre skoro tri meseca, operateri su počeli da regrutuju partnere za novi ransomware-as-a-service (RaaS) na hakerskom forumu RAMP.

Ponuđeni su enkriptori za Windows, macOS i Linux/ESXi. Operateri nude podružnicama i malver za krađu podataka za Windows i Linux, što se inače ne viđa u RaaS operacijama.

Pored “normalnih” enkriptora, operateri nude “lite” verziju za upotrebu u kampanjama masovne distribucije neželjene pošte koje ciljaju veliki broj korisnika. Ova verzija zahteva fiksni iznos otkupnine, tako da pregovora o visini otkupnine sa žrtvama nema.

Osim što su promenili ime ransomwarea, sajber-kriminalci su promenili i sajt za objavljivanje podataka ukradenih od žrtava. Trenutno nema navedenih žrtava niti ukradenih fajlova na sajtu Knight ransomwarea.

Mejlovi kojima se distribuira ransomware sadrže ZIP fajl pod nazivom „TripAdvisorComplaint.zip“ koji sadrži izvršni fajl pod nazivom „TripAdvisor Complaint - Possible Suspension.exe“. Novija verzija ove kampanje umesto ZIP fajla uključuje HTML fajl.

Kada šifruje fajlove, Knight će nazivima šifrovanih fajlova dodati ekstenziju .knight_l, gde “l” verovatno znači “lite”.

Ransomware će ostaviti obaveštenje o otkupnini sa instrukcijama kako da vratite svoje fajlove. U ovoj najnovijoj kampanji od žrtava se zahteva da 5.000 dolara pošalju na navedenu Bitcoin adresu, a obaveštenje u txt fajlu sadrži link do Knight Tor sajta.

Zanimljivo je da je u svakoj poruci o otkupnini u ovoj kampanji ista Bitcoin adresa, što znači da napadači ne mogu da znaju koja je žrtva platila otkup. Na sajtu nema panela za pregovore. Umesto toga, prikazuje se poruka u kojoj se navodi da žrtve treba da plate otkupninu i da tada kontaktiraju napadače na [email protected].

U ovom trenutku nije poznato da li bi plaćanje otkupnine rezultiralo dešifrovanjem fajlova. Zato se žrtvama preporučuje da se uzdrže od plaćanja otkupnine, jer postoji velika šansa da neće dobiti dešifrator.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je k... Dalje

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Go... Dalje

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Firma Cado Security otkrila je novi malver, Cthulhu Stealer, koji inficira uređaje sa Appleovim operativnim sistemom macOS. Cthulhu Stealer funkcioni... Dalje

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Istraživači iz firme Kandji upozorili su na TodoSwift, zlonamernu dropper aplikaciju koja se maskira kao program za preuzimanje PDF-ova. Njihov izve... Dalje