Это новый год, а вместе с ним и новая программа-вымогатель, за которой нужно следить, под названием «Ночное небо», которая нацелена на корпоративные сети и крадет данные в атаках с двойным вымогательством.
По данным MalwareHunterteam, которые первыми обнаружили новую программу-вымогатель, операция «Ночное небо» началась 27 декабря и с тех пор опубликовала данные двух жертв.
Одна из жертв получила первоначальное требование о выкупе в размере 800 000 долларов за дешифратор и запрет на публикацию украденных данных.
Как Night Sky шифрует устройства
Образец программы-вымогателя Night Sky, замеченный BleepingComputer, содержит персонализированную записку о выкупе и жестко закодированные учетные данные для доступа к странице переговоров жертвы.
При запуске программа-вымогатель шифрует все файлы, кроме тех, которые заканчиваются расширениями .dll или .exe. Вымогатель также не будет шифровать файлы или папки в списке ниже:
AppData
Boot
Windows
Windows.old
Tor Browser
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
$Recycle.Bin
ProgramData
All Users
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr.efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
Program Files
Program Files (x86)
#recycleПри шифровании файлов Night Sky добавит расширение .nightsky к именам зашифрованных файлов.
В каждой папке записка о выкупе с именем NightSkyReadMe.hta содержит информацию о том, что было украдено, контактные адреса электронной почты и жестко запрограммированные учетные данные для входа на страницу переговоров жертвы.
Вместо того, чтобы использовать сайт Tor для связи с жертвами, Night Sky использует адреса электронной почты и понятный веб-сайт, на котором работает Rocket.Chat. Учетные данные используются для входа по URL-адресу Rocket.Chat, указанному в примечании о выкупе.
Тактика двойного вымогательства
Обычная тактика, используемая программами-вымогателями, заключается в краже незашифрованных данных у жертв перед шифрованием устройств в сети.
Затем злоумышленники используют эти украденные данные в стратегии «двойного вымогательства», когда они угрожают утечкой данных, если выкуп не будет уплачен.
Для утечки данных жертв Night Sky создала сайт утечки данных Tor, на котором в настоящее время есть две жертвы, одна из Бангладеш, а другая из Японии.
Хотя с новой операцией по вымогательству Night Sky не было большой активности, нам нужно следить за ней, когда мы приближаемся к новому году.
Последнее обновление 05.01.2023
