Night Sky Ransomware

一部のサイバー犯罪者は、休暇を休むことなく、ランサムウェア攻撃の新たな被害者を見つけることに集中することにしました。そのようなグループの1つは、新たに発見されたNight SkyRansomwareの脅威の背後にいるハッカーで構成されています。この特定のマルウェアは、2021年12月27日に夜空作戦が開始されたと信じている研究者によって最初に発見されました。わずか1週間後、夜空の脅威は、日本とバングラデシュの2人の企業被害者に感染しました。

技術的な詳細

企業エンティティを対象としたほとんどのランサムウェア操作と同様に、Night SkyRansomwareサイバー犯罪者も2つの異なる恐喝戦術を使用しています。感染したコンピューターに保存されている重要なファイルをロックしますが、自分のサーバーに侵入する前にはロックしません。その後、彼らは、収集されたデータが競合他社に販売されるか、専用のリークサイトを介して一般に公開されるという、要求された身代金を支払うことを望まない被害者を脅迫します。

Night Sky Ransomware自体に関しては、脅威は解読不可能な暗号化アルゴリズムを使用して、膨大な数のファイルタイプをロックします。そのまま残されるのは、.dllを使用するものだけです。 .exe拡張子は、改ざんされると、デバイスのオペレーティングシステムが誤動作したり、重大なエラーが発生したりする可能性があります。ほとんど同じ理由で、ランサムウェアは、特別に選択された30個のファイルとフォルダーのリストの暗号化も回避します約。これらには、AppData、Boot、Windows、ProgramData、boot.ini、ntldrなどが含まれます。他のすべてのファイルは暗号化され、元の名前に「.nightsky」が追加されます。

身代金メモの概要

暗号化プロセスが完了すると、Night Sky Ransomwareは、ロックされたデータを含むすべてのフォルダーに身代金メモファイルをドロップします。これらの新しく作成されたファイルには、「NightSkyReadMe.hta」という名前が付けられます。それらには、特定の被害者のためにパーソナライズされた身代金を要求するメッセージが含まれています。そのため、身代金の金額など、一部の詳細は異なる場合があります。現在の証拠は、夜空作戦の現在の2人の犠牲者のうちの1人が、復号化ツールを受け取り、そのデータが公開されないようにするために800,000ドルを支払うように求められたことを示しています。

身代金メモには、サイバー犯罪者の交渉ページのハードコードされたログイン資格情報も含まれています。このタイプの他のハッカーグループとは異なり、NightSkyは通信目的でTorWebサイトを使用しません。代わりに、被害者はRocket.Chatを実行している通常のWebサイトに誘導されます。ただし、被害者のデータを含むグループのリークサイトは、実際にTorネットワークでホストされています。