Knight 勒索软件是在一场持续进行的垃圾邮件活动中传播的,该活动伪装成 TripAdvisor 投诉。
Knight 勒索软件是 Cyclop 勒索软件即服务的最新品牌重塑,该服务于 2023 年 7 月底更名。
独眼巨人和骑士勒索软件是谁?
Cyclops 勒索软件运营于 2023 年 5 月启动,当时运营商开始在 RAMP 黑客论坛上招募新的勒索软件即服务 (RaaS) 的附属机构。
Uptycs的一份报告 解释说,该操作是通过 Windows、macOS 和 Linux/ESXi 的加密器启动的。该行动还向附属机构提供适用于 Windows 和 Linux 的信息窃取恶意软件,这在 RaaS 行动中通常不常见。
来源:https://28u.cc/
除了普通的加密器之外,该行动还提供了一个“精简版”版本,用于针对大量目标用户的垃圾邮件和祈祷和喷雾大规模分发活动。该版本似乎使用固定的赎金金额,而不是与受害者谈判。
7 月底,Cyclops 更名为 Knight,还表示他们更新了精简版加密器以支持“批量分发”,并推出了新的数据泄露网站。
“我们已经更新了新面板,并正式更名为 Knight。我们正在寻找(任何类型的)合作伙伴!!!”旧 Cyclops 和新 Knight 数据泄露网站上的公告中写道。
“我们还更新了精简版以支持批量分发。”
目前 Knight 数据泄露网站上没有泄露受害者或被盗文件。
Knight 垃圾邮件活动
本周,Sophos 研究员 Felix 发现了一个新的垃圾邮件活动,假装是 TripAdvisor 投诉,但却分发 Knight 勒索软件。
BleepingComputer 发现并分析的该活动的新版本现在包含一个名为“TripAdvisor-Complaint-[random].PDF.htm”[ VirusTotal ] 的 HTML 附件。
打开 HTML 文件后,它将使用 Mr.D0x 的 浏览器中浏览器网络钓鱼技术 打开 TripAdvisor 的浏览器窗口。
这个假浏览器窗口伪装成向餐厅提交的投诉,要求用户查看。但是,单击“阅读投诉”按钮将下载名为“TripAdvisor_Complaint-Possible-Suspension.xll”[ VirusTotal ] 的 Excel XLL 文件,如下所示。
来源:https://28u.cc/
该 XLL 文件是使用 Excel-DNA创建的,它将 .NET 集成到 Microsoft Excel 中,以便在打开该文件时执行恶意软件。
当您打开 XLL 时,Microsoft Excel 将检测添加到从 Internet 下载的文件(包括电子邮件)中的 Web 标记 (MoTW)。如果它检测到 MoTW,它将不会启用 Excel 文档中内置的 .NET 加载项,从而使攻击无效,除非用户取消阻止该文件。
但是,如果文件上没有 MoTW 标志,Excel 将提示用户是否要启用该加载项,如下所示。
来源:https://28u.cc/
启用该加载项将导致 Knight Lite 勒索软件加密器被注入到新的 explorer.exe 进程中,并开始加密计算机上的文件。
加密文件时,它会将.knight_l扩展名附加到加密文件的名称中,其中“l”部分可能代表“lite”。
来源:https://28u.cc/
勒索软件还会在计算机上的每个文件夹中创建名为How To Restore Your Files.txt 的勒索字条 。此活动中的勒索信要求将 5,000 美元发送到列出的比特币地址,并且还包含指向 Knight Tor 网站的链接。
然而,https://28u.cc/看到的此次活动中的每张勒索字条都使用相同的比特币地址“14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z”,这使得威胁行为者无法确定哪个受害者支付了赎金。
来源:https://28u.cc/
由于这是 Knight Lite 活动,因此访问该网站不会显示谈判面板。相反,它显示一条消息,指出受害者应该已经支付赎金要求,然后通过 brahma2023@onionmail.org 联系附属机构。
来源:https://28u.cc/
目前,尚不清楚支付赎金是否会导致从 Knight 附属机构收到解密器。
此外,https://28u.cc/看到的所有勒索字条都使用相同的比特币地址,这使得其他人有可能声称付款是他们的,本质上是窃取您的付款。
因此,强烈建议不要在此活动中支付赎金,因为您很可能不会收到解密器。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Knight 勒索软件通过虚假的 Tripadvisor 投诉电子邮件传播
