新年を迎え、企業のネットワークを標的にして二重にデータを盗む「Night Sky」という新しいランサムウェアが登場していることが発見されました。
新年早々、新たなランサムウェア・ギャングが登場しました。「Night Sky」です。まだサンプルはありません。
注意:NightSkyReadMe.hta
拡張子:.nightsky
リークサイトにはすでに2件のエントリーがあります。
この新しいランサムウェアを最初に発見したMalwareHunterteamによると、「Night Sky」の活動は12月27日に開始され、その後2社の被害者のデータを公開しています。
被害者の一人は、80万ドルの身代金を要求され、復号機を入手し、盗まれたデータを公開しないように要求されています。
「Night Sky」によるデバイスの暗号化の仕組み
ランサムウェア「Night Sky」のサンプルは、カスタマイズされており、パーソナライズされた身代金請求書と、被害者の交渉ページにアクセスするためのハードコードされたログイン認証情報が含まれています。
起動すると、このランサムウェアは、ファイル拡張子が.dllまたは.exeで終わるものを除くすべてのファイルを暗号化します。また、このランサムウェアは以下のリストのファイルやフォルダを暗号化しません。
AppData
Boot
Windows
Windows.old
Tor Browser
Internet Explorer
Opera
Opera Software
Mozilla
Mozilla Firefox
$Recycle.Bin
ProgramData
All Users
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr.efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
Program Files
Program Files (x86)
recycle
ファイルを暗号化する際、Night Skyは暗号化されたファイル名に.nightskyという拡張子を付けます。
各フォルダにはNightSkyReadMe.htaという名前の身代金請求書があり、盗まれたものに関連する情報、連絡先の電子メール、被害者の交渉ページへのハードコードされた認証情報が含まれています。
Night Skyは、被害者とのコミュニケーションにTorサイトを使用する代わりに、電子メールアドレスとRocket.Chatを実行しているクリアウェブのウェブサイトを使用します。
身代金メモに記載されているRocket.ChatのURLにログインするために認証情報が使用されます。
二重恐喝の手口
ランサムウェアの運用でよく使われる戦術は、ネットワーク上のデバイスを暗号化する前に、被害者から暗号化されていないデータを盗むことです。
そして、この盗んだデータを利用して、身代金を支払わないとデータを漏洩すると脅す「二重恐喝」戦略をとります。
被害者のデータをリークするために、Night SkyはTorデータリークサイトを作成し、現在、バングラデシュと日本の2社の被害者が含まれているようです
新しいランサムウェア「Night Sky」の活動はあまり活発ではありませんが、新年を迎えるにあたり、注意しておく必要があります。
Comments