Night Sky Ransomware
Wertungsliste der Bedrohung
EnigmaSoft Bedrohungs-Scorecard
EnigmaSoft Threat Scorecards sind Bewertungsberichte für verschiedene Malware-Bedrohungen, die von unserem Forschungsteam gesammelt und analysiert wurden. EnigmaSoft Threat Scorecards bewerten und stufen Bedrohungen anhand verschiedener Metriken ein, darunter reale und potenzielle Risikofaktoren, Trends, Häufigkeit, Prävalenz und Persistenz. EnigmaSoft Threat Scorecards werden regelmäßig auf der Grundlage unserer Forschungsdaten und -metriken aktualisiert und sind für eine Vielzahl von Computerbenutzern nützlich, von Endbenutzern, die nach Lösungen suchen, um Malware von ihren Systemen zu entfernen, bis hin zu Sicherheitsexperten, die Bedrohungen analysieren.
EnigmaSoft Threat Scorecards zeigen eine Vielzahl nützlicher Informationen an, darunter:
Ranking: Das Ranking einer bestimmten Bedrohung in der Bedrohungsdatenbank von EnigmaSoft.
Schweregrad: Der ermittelte Schweregrad eines Objekts, numerisch dargestellt, basierend auf unserem Risikomodellierungsprozess und unserer Forschung, wie in unseren Kriterien zur Bedrohungsbewertung erläutert.
Infizierte Computer: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern entdeckt wurden, wie von SpyHunter gemeldet.
Siehe auch Kriterien für die Bedrohungsbewertung .
Bedrohungsstufe: | 100 % (Hoch) |
Infizierte Computer: | 4 |
Zum ersten Mal gesehen: | January 7, 2022 |
Zuletzt gesehen: | April 26, 2023 |
Betroffene Betriebssysteme: | Windows |
Einige Cyberkriminelle entschieden sich dafür, in den Ferien keine Pause einzulegen und sich stattdessen darauf zu konzentrieren, neue Opfer für ihre Ransomware-Angriffe zu finden. Eine solche Gruppe besteht aus den Hackern, die hinter der neu entdeckten Bedrohung durch die Ransomware Night Sky stehen. Diese spezielle Malware wurde erstmals von Forschern entdeckt, die glauben, dass die Night Sky-Operation am 27. Dezember 2021 gestartet wurde. Etwas mehr als eine Woche später hat es die Night Sky-Bedrohung geschafft, zwei Unternehmensopfer zu infizieren, eines aus Japan und eines aus Bangladesch.
Technische Details
Wie die meisten Ransomware-Operationen, die auf Unternehmenseinheiten abzielen, verwenden auch die Cyberkriminellen der Night Sky Ransomware zwei verschiedene Erpressungstaktiken. Sie sperren wichtige Dateien, die auf den infizierten Computern gespeichert sind, jedoch nicht, bevor sie sie auf ihren eigenen Server exfiltriert haben. Danach drohen sie den Opfern, die das geforderte Lösegeld nicht zahlen wollen, damit, dass die gesammelten Daten entweder an Konkurrenten verkauft oder über eine spezielle Leak-Site an die Öffentlichkeit weitergegeben werden.
Die Night Sky Ransomware selbst verwendet einen unknackbaren Verschlüsselungsalgorithmus, um eine Vielzahl von Dateitypen zu sperren. Die einzigen, die intakt bleiben, sind die mit .dll. und .exe-Erweiterungen, da deren Manipulation dazu führen kann, dass das Betriebssystem auf dem Gerät nicht richtig funktioniert oder kritische Fehler auftreten. Meistens aus dem gleichen Grund vermeidet die Ransomware auch die Verschlüsselung einer Liste von 30 speziell ausgewählten Dateien und OrdnernCA. Dazu gehören AppData, Boot, Windows, ProgramData, boot.ini, ntldr und mehr. Alle anderen Dateien werden verschlüsselt und mit '.nightsky' an ihren ursprünglichen Namen angehängt.
Übersicht der Lösegeldforderung
Nach Abschluss des Verschlüsselungsprozesses legt die Night Sky Ransomware eine Lösegelddatei in jedem Ordner ab, der die gesperrten Daten enthält. Diese neu erstellten Dateien werden "NightSkyReadMe.hta" genannt. Sie enthalten eine Lösegeldforderung, die für das jeweilige Opfer personalisiert wurde. Daher können einige Details, einschließlich der Höhe des Lösegelds, variieren. Aktuelle Beweise zeigen, dass eines der beiden aktuellen Opfer der Night Sky-Operationen aufgefordert wurde, 800.000 US-Dollar zu zahlen, um ein Entschlüsselungstool zu erhalten und die Freigabe seiner Daten zu vermeiden.
Die Lösegeldforderungen enthalten auch hartcodierte Zugangsdaten für die Verhandlungsseite der Cyberkriminellen. Im Gegensatz zu anderen Hackergruppen dieser Art verwendet Night Sky keine Tor-Website zu Kommunikationszwecken. Stattdessen werden die Opfer auf eine normale Website geleitet, auf der Rocket.Chat läuft. Die Leak-Site der Gruppe, die die Daten ihrer Opfer enthält, wird jedoch tatsächlich im Tor-Netzwerk gehostet.