Knight chess piece

Knight ランサムウェアは、トリップアドバイザーへの苦情を装った継続的なスパム キャンペーンで配布されています。

Knight ランサムウェアは、2023 年 7 月末に名前が変更された Cyclop Ransomware-as-a-Service の最近のブランド変更です。

Cyclops および Knight ランサムウェアとは何ですか?

Cyclops ランサムウェア作戦は、オペレーターが RAMP ハッキング フォーラムで新しいサービスとしてのランサムウェア (RaaS) のアフィリエイトを募集し始めた 2023 年 5 月に開始されました。

Uptycsのレポートでは、この操作は Windows、macOS、および Linux/ESXi の暗号化機能を使用して開始されたと説明されています。この作戦では、Windows および Linux 用の情報を盗むマルウェアもアフィリエイトに提供されていますが、これは RaaS 作戦では通常見られません。

さまざまな Cyclops ランサムウェア暗号化ツール
さまざまな Cyclops ランサムウェア暗号化ツール
ソース:

通常の暗号化機能に加えて、この運営では、多数の対象ユーザーを対象としたスパムや祈りとスプレーの大規模配布キャンペーンで使用するための「ライト」バージョンも提供しています。このバージョンでは、被害者との交渉ではなく、固定の身代金を利用しているようです。

7月末、CyclopsはKnightとしてブランドを変更し、「バッチ配布」をサポートするためにライト暗号化プログラムを更新し、新しいデータ漏洩サイトを立ち上げたと述べた。

「私たちは新しいパネルを更新し、正式に名前を Knight に変更しました。私たちは (あらゆる種類の) パートナーを探しています!!!」と、古い Cyclops と新しい Knight データ リーク サイトの発表には書かれています。

「バッチ配布をサポートするために、ライト バージョンも更新しました。」

現在、Knight データ漏洩サイトで漏洩した被害者や盗難されたファイルはありません。

Knight スパム キャンペーン

今週、ソフォスの研究者 Felix は、トリップアドバイザーの苦情を装って、代わりに Knight ランサムウェアを配布する新たなスパム キャンペーンを発見しました。

フェリックスからのツイート

実際の電子メールは共有されていないが、フェリックス氏は、電子メールには「TripAdvisorComplaint.zip」という名前の ZIP ファイル添付ファイルが含まれており、その中には「TripAdvisor Complaint – Possible Suspension.exe」という名前の実行可能ファイルが含まれていると述べた [ VirusTotal ]。

現在までに発見され分析されたこのキャンペーンの新しいバージョンには、「TripAdvisor-Complaint-[random].PDF.htm」という名前の HTML 添付ファイルが含まれています [ VirusTotal ]。

HTML ファイルを開くと、D0x 氏のブラウザ内ブラウザ フィッシング手法を使用して、トリップアドバイザーのブラウザ ウィンドウのように見えるものを開きます。

この偽のブラウザ ウィンドウは、レストランに提出された苦情を装い、ユーザーに内容を確認するよう求めます。ただし、[苦情を読む] ボタンをクリックすると、以下に示すように、[TripAdvisor_Complaint-Possible-Suspension.xll] [ VirusTotal ] という名前の Excel XLL ファイルがダウンロードされます。

トリップアドバイザーの偽の苦情添付ファイルがランサムウェアをダウンロード
トリップアドバイザーの偽の苦情添付ファイルがランサムウェアをダウンロード
ソース:

この XLL ファイルは、.NET を Microsoft Excel に統合し、開かれたときにマルウェアを実行するExcel-DNAを使用して作成されます。

XLL を開くと、Microsoft Excel は、電子メールなど、インターネットからダウンロードされたファイルに追加された Web マーク (MoTW) を検出します。 MoTW が検出された場合、Excel ドキュメントに組み込まれている .NET アドインは有効にならず、ユーザーがファイルのブロックを解除しない限り攻撃は無効になります。

ただし、ファイルに MoTW フラグがない場合、以下に示すように、Excel はアドインを有効にするかどうかをユーザーに尋ねます。

Excel で .NET アドインのロードを求めるプロンプトが表示される
Excel で .NET アドインのロードを求めるプロンプトが表示される
ソース:

アドインを有効にすると、Knight Lite ランサムウェア暗号化プログラムが新しいexplorer.exe プロセスに挿入され、コンピューター上のファイルの暗号化が開始されます。

ファイルを暗号化するとき、暗号化されたファイルの名前に.knight_l拡張子が追加されます。「l」の部分はおそらく「lite」を表します。

Knight 暗号化ファイル
Knight 暗号化ファイル
ソース:

このランサムウェアは、コンピューター上の各フォルダーにHow To Restore Your Files.txtという名前の身代金メモも作成します。このキャンペーンの身代金メモには、リストに記載されたビットコイン アドレスに 5,000 ドルを送信するよう要求されており、Knight Tor サイトへのリンクも含まれています。

ただし、このキャンペーンで確認されたすべての身代金メモは、同じビットコイン アドレス「14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z」を利用しているため、攻撃者はどの被害者が身代金を支払ったのかを判断することができません。

騎士の身代金メモ
騎士の身代金メモ
ソース:

これは Knight Lite キャンペーンであるため、サイトにアクセスしても交渉パネルは表示されません。代わりに、被害者が身代金要求をすでに支払っているはずであり、その場合はアフィリエイト (brahma2023@onionmail.org) に連絡するようにというメッセージが表示されます。

Knight ランサムウェア Tor サイト
Knight ランサムウェア Tor サイト
ソース:

現時点では、身代金を支払うとKnight関連会社から復号ツールを受け取ることになるかどうかは不明です。

さらに、 によって確認されたすべての身代金メモは同じビットコイン アドレスを利用しているため、他人が自分のものとして支払いを要求することが可能になり、実質的にあなたの支払いを盗むことができます。

したがって、復号化ツールを受け取れない可能性が高いため、このキャンペーンでは身代金の支払いを控えることを強くお勧めします。