Şövalye fidye yazılımı, TripAdvisor şikayetleri gibi davranan devam eden bir spam kampanyasında dağıtılıyor.
Knight Ransomware, Temmuz 2023'ün sonunda adını değiştiren Cyclop Fidyeware-Hizmet Olarak Yakın zamanda yeniden markasıdır.
Cyclops fidye yazılımı operasyonu, Mayıs 2023'te operatörlerin rampa hackleme forumunda yeni fidye yazılımı (RAAS) için iştirakleri işe almaya başladığı zaman başlatıldı.
Uptycs'in bir raporu, Windows, MacOS ve Linux/ESXI için şifrelemelerle başlatılan işlemin açıklanıyor. Operasyon ayrıca, Windows ve Linux için normalde RAAS operasyonlarında görülmeyen bilgileri çalan kötü amaçlı yazılımlar sunar.
Normal şifrelemelerine ek olarak, operasyon spam'de kullanım ve çok sayıda hedeflenen kullanıcıyı hedefleyen dua ve püskürtme kütle dağıtım kampanyaları sunar. Bu versiyonun kurbanlarla müzakere etmek yerine sabit bir fidye miktarı kullanıyor gibi görünüyor.
Temmuz sonunda, Cyclops Knight olarak yeniden markalaştı, ayrıca 'toplu dağıtımı' desteklemek için Lite şifrelemesini güncellediklerini ve yeni bir veri sızıntı sitesi başlattıklarını belirtti.
"Yeni panelimizi güncelledik ve adımızı resmi olarak Knight olarak değiştirdik. Eski Cyclops ve yeni şövalye veri sızıntı sitelerinde bir duyuru okuyor."
Diyerek şöyle devam etti: "Toplu dağıtımı desteklemek için Lite sürümünü de güncelledik."
Şu anda Şövalye Veri Sızıntısı sitesinde sızan kurban veya çalıntı dosyalar yok.
Bu hafta, Sophos araştırmacısı Felix, TripAdvisor şikayetleri gibi davranan yeni bir spam kampanyası gördü, ancak bunun yerine Şövalye Fidye yazılımı dağıttı.
Gerçek e -postalar paylaşılmasa da Felix, e -postaların 'TripAdvisor Şikayeti - Olası Suspension.exe' [Virustotal] adlı bir yürütülebilir dosyayı içeren 'TripAdvisorcomplaint.zip' adlı ZIP dosyası eklerini içerdiğini söyledi.
BleepingComputer tarafından tespit edilen ve analiz edilen bu kampanyanın daha yeni bir versiyonu artık 'TripAdvisor-Complaince- [rastgele] .pdf.htm' [Virustotal] adlı bir HTML eki içeriyor.
HTML dosyası açıldığında, TripAdvisor'a bir tarayıcı penceresi gibi görünen şeyi açmak için Mr.D0X'in tarayıcısı kimlik avı tekniğini kullanacaktır.
Bu sahte tarayıcı penceresi, kullanıcıdan incelemesini isteyen bir restorana gönderilen bir şikayet gibi davranıyor. Ancak, 'Şikayet Oku' düğmesini tıklamak, aşağıda gösterildiği gibi 'TripAdvisor_Complaint-Possible-Suspension.xll' [Virustotal] adlı bir Excel XLL dosyasını indirecektir.
Bu XLL dosyası, açıldığında kötü amaçlı yazılımları yürütmek için .NET'i Microsoft Excel'e entegre eden Excel-DNA kullanılarak oluşturulur.
XLL'yi açtığınızda, Microsoft Excel, e -posta da dahil olmak üzere İnternet'ten indirilen dosyalara eklenen web'in işaretini (MOTW) algılar. MOTW'yi algılarsa, Excel belgesinde yerleşik .NET eklentisini etkinleştirmez ve bir kullanıcı dosyayı engellemedikçe saldırıyı geçersiz kılar.
Ancak, dosyada MOTW bayrağı yoksa Excel, kullanıcıyı aşağıda gösterildiği gibi eklenmeyi etkinleştirmek isteyip istemediklerini isteyecektir.
Eklentinin etkinleştirilmesi, Knight Lite Fidye Yazılımı şifrelemesinin yeni bir Explorer.exe işlemine enjekte edilmesine ve bilgisayarınızdaki dosyaları şifrelemeye başlayacaktır.
Dosyaları şifrelerken, 'l' bölümünün muhtemelen 'lite' anlamına geldiği.
Fidye yazılımı ayrıca bilgisayardaki her klasörde dosyalarınızı nasıl geri yükleyeceğiniz adlı bir fidye notu oluşturur. Bu kampanyadaki fidye notu, listelenen bir Bitcoin adresine 5.000 dolar gönderilmesini gerektiriyor ve ayrıca Şövalye Tor sitesine bir bağlantı içeriyor.
Bununla birlikte, BleepingComputer tarafından görülen bu kampanyadaki her fidye notu, '14jfwqbud8c8Kechyc9JM6DammyJub3z' '' ile aynı bitcoin adresini kullanıyor.
Bu bir Knight Lite kampanyası olduğundan, siteyi ziyaret etmek bir müzakere paneli görüntülenmez. Bunun yerine, kurbanların fidye talebini zaten ödemesi gerektiğini ve o zaman Brahma2023@onionmail.org adresinden satış ortağıyla iletişim kurmaları gerektiğini belirten bir mesaj gösterir.
Şu anda, bir fidye ödemenin Şövalye bağlı kuruluşundan bir şifreleme almasına neden olup olmayacağı bilinmemektedir.
Ayrıca, BleepingComputer tarafından görülen tüm fidye notları, aynı bitcoin adresini kullanır, bu da bir başkasının onlarınki olarak bir ödeme talep etmesini mümkün kılar, esasen ödemenizi çalır.
Bu nedenle, bu kampanyada bir fidye ödemekten kaçınması şiddetle tavsiye edilir, çünkü bir şifre oluşturma şansınız yüksektir.
Monti Ransomware, yeni Linux Locker ile VMware ESXI sunucularını hedefler
Colorado, IBM Moveit İhlali'nde çalınan 4 milyon veri uyarıyor
Ransomware'de Hafta - 11 Ağustos 2023 - Sağlık Hizmetlerini Hedefleme
Lolekhosted Yönetici Netwalker Ransomware Gang'a yardım ettiği için tutuklandı
Sağlık Hizmetlerine yönelik son saldırıların arkasında Rhysida fidye yazılımı
Kaynak: Bleeping Computer