Novi ransomware Knight krije se u mejlovima Tripadvisora
Opisi virusa, 15.08.2023, 09:00 AM

Ransomwareu Cyclops, koji se pojavio u maju ove godine, krajem jula je promenjeno ime u Knight ransomware. Pod tim nazivom ransomware se sada distribuira u okviru nove spam kampanje a potencijalnim žrtvama se šalju imejlovi koji izgledaju kao pritužbe TripAdvisoru.
Kada se Cyclops pojavio pre skoro tri meseca, operateri su počeli da regrutuju partnere za novi ransomware-as-a-service (RaaS) na hakerskom forumu RAMP.
Ponuđeni su enkriptori za Windows, macOS i Linux/ESXi. Operateri nude podružnicama i malver za krađu podataka za Windows i Linux, što se inače ne viđa u RaaS operacijama.
Pored “normalnih” enkriptora, operateri nude “lite” verziju za upotrebu u kampanjama masovne distribucije neželjene pošte koje ciljaju veliki broj korisnika. Ova verzija zahteva fiksni iznos otkupnine, tako da pregovora o visini otkupnine sa žrtvama nema.
Osim što su promenili ime ransomwarea, sajber-kriminalci su promenili i sajt za objavljivanje podataka ukradenih od žrtava. Trenutno nema navedenih žrtava niti ukradenih fajlova na sajtu Knight ransomwarea.
Mejlovi kojima se distribuira ransomware sadrže ZIP fajl pod nazivom „TripAdvisorComplaint.zip“ koji sadrži izvršni fajl pod nazivom „TripAdvisor Complaint - Possible Suspension.exe“. Novija verzija ove kampanje umesto ZIP fajla uključuje HTML fajl.
Kada šifruje fajlove, Knight će nazivima šifrovanih fajlova dodati ekstenziju .knight_l, gde “l” verovatno znači “lite”.
Ransomware će ostaviti obaveštenje o otkupnini sa instrukcijama kako da vratite svoje fajlove. U ovoj najnovijoj kampanji od žrtava se zahteva da 5.000 dolara pošalju na navedenu Bitcoin adresu, a obaveštenje u txt fajlu sadrži link do Knight Tor sajta.
Zanimljivo je da je u svakoj poruci o otkupnini u ovoj kampanji ista Bitcoin adresa, što znači da napadači ne mogu da znaju koja je žrtva platila otkup. Na sajtu nema panela za pregovore. Umesto toga, prikazuje se poruka u kojoj se navodi da žrtve treba da plate otkupninu i da tada kontaktiraju napadače na [email protected].
U ovom trenutku nije poznato da li bi plaćanje otkupnine rezultiralo dešifrovanjem fajlova. Zato se žrtvama preporučuje da se uzdrže od plaćanja otkupnine, jer postoji velika šansa da neće dobiti dešifrator.

Izdvojeno
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Novi opasni ransomware briše sadržaj fajlova na uređajima
.png)
Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje
Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje
Malver Acreed: nova zvezda na crnom sajber-tržištu
.jpg)
Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje
Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja
.jpg)
Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje
Pratite nas
Nagrade