Tekuća kampanja neželjene pošte distribuira soj Knight ransomware-a upakovanog u fajl koji predstavlja lažne TripAdvisor žalbe. Knight je, navodno, nova verzija već ugašenog Cyclops ransomware-a koji je lansiran u maju, a trenutno nema navedenih žrtava na svojoj stranici.
Kako funkcioniše kampanja?
- Kampanja koristi HTML prilog pod nazivom ‘TripAdvisor-Complaint-[random].PDF.htm koji preusmjerava korisnike na lažni prozor pretraživača za TripAdvisor.
- Prozor pretraživača se pretvara da je žalba upućena restoranu dok od korisnika traži da je pregleda.
- Kada korisnik klikne na dugme ‘Pročitaj žalbu’, Excel datoteka pod nazivom ‘TripAdvisor_Complaint-Possible-Suspension.xll’ se preuzima na sistem, što dalje uzrokuje izvršenje ransomware-a.
Više o Knightovim operacijama
Knight ransomware prvi je put primijećen u julu nakon što je banda obnovila panel i program Cyclops ransomwarea.
- Kao dio programa, nastavlja da regrutuje podružnice na RAMP hakerskom forumu kako bi poboljšao svoju sposobnost krađe podataka iz Windows i Linux sistema.
- Pored uobičajenih enkriptora, Knight ransomware operacija nudi ‘lite’ verziju koja se koristi u kampanjama spama, pray-and-spray i grupne distribucije.
Zahtjev za šifriranjem i otkupninom
- Knight Lite ransomware enkriptor, ubačen u novi proces explorer.exe, koristi se za šifrovanje datoteka na ciljanim računarima.
- Nakon šifrovanja, nazivima šifrovanih datoteka se dodaje ekstenzija .knight_1, gdje ‘1’ znači lite.
- Zatim, ransomware kreira zabilješku u svakoj fascikli na računaru, zahtijevajući otkupninu od 5.000 dolara da se pošalje na dostavljenu Bitcoin adresu.
Zaključak
Rebranding softvera za ransomware uobičajena je tehnika među kibernetičkim kriminalcima koji traže načine da prošire monetiziranje svojih napada dok ostaju ispod radara. Iako je Knight ransomware jedan od takvih nedavnih primjera, u prošlosti je bilo više takvih izvještaja. Kako je ova taktika i dalje preovlađujuća u cijelom okruženju ransomware-a, preporučuje se da slijedite programe ublažavanja koje je pokrenula CISA, a koji mogu pomoći u otkrivanju i otklanjanju ranjivosti iskorištavanih u napadima ransomware-a.
Izvor: Cyware Alerts – Hacker News