Knight Ransomware-Erkennung: 3.0 Ransomware-Quellcode zum Verkauf verfügbar
Inhaltsverzeichnis:
Der Quellcode der Knight-Ransomware, ein Rebranding der Cyclops RaaS Operation, steht auf einem Hackerforum zum Verkauf. Forscher enthüllten eine kürzlich auf dem RAMP-Forum veröffentlichte Anzeige eines Bedrohungsakteurs mit dem Pseudonym Cyclops, der zur Knight-Ransomware-Gang gehört. Der Quellcode für die Knight-Ransomware-Version 3.0 wird ausschließlich einem einzelnen Käufer angeboten, wodurch sein Wert als proprietäres Tool erhalten bleibt.
Erkennung von Knight-Ransomware
Ransomware bleibt die Bedrohung Nummer eins für Unternehmen weltweit, mit 70 % der Organisationen weltweit als Opfer von Ransomware-Angriffen und den durchschnittlichen Kosten eines Ransomware-Angriffs von 4,5 Millionen US-Dollar. Um den aufkommenden Bedrohungen, die immer komplexer und größer werden, einen Schritt voraus zu sein, suchen Sicherheitspraktiker nach fortschrittlichen Lösungen zur Optimierung von Bedrohungssuche und zur Sicherstellung einer proaktiven Cyberabwehr. Die SOC Prime Platform bietet das weltweit größte Repository für Erkennungsinhalte zu den neuesten TTPs, begleitet von exklusiven SaaS-Lösungen für Threat Hunting und Detection Engineering.
Angesichts der Tatsache, dass der Quellcode der Knight-Ransomware online durchgesickert ist, erwarten Sicherheitsexperten einen Anstieg der Angriffe, die auf diesen Malware-Strang zurückgreifen. Um mögliche Angriffe der Knight-Ransomware zu erkennen, können Cyber-Verteidiger kuratierte Erkennungsregeln anwenden, die im Threat Detection Marketplace von SOC Prime aufgelistet sind.
Klicken Sie auf den Erkunden Sie Erkennungen Knopf unten und vertiefen Sie sich in den relevanten Erkennungsstack gegen Knight-Angriffe. Alle Regeln sind kompatibel mit 28 SIEM-, EDR-, XDR- und Data-Lake-Lösungen und sind zu MITRE ATT&CK v14.1abgebildet. Außerdem werden Erkennungen mit relevanten Metadaten angereichert, einschließlich Angriffzeitleisten und CTI-Referenzen.
Um Sicherheitsexperten bei der Abwehr von bösartigen Ransomware-Akteuren zu unterstützen, aggregiert SOC Prime Plattformen Hunderte von Regeln zur Erkennung damit verbundener bösartiger Aktivitäten. Folgen Sie einfach diesem Link , um einen passenden Satz von Erkennungen zu erkunden.
Analyse der Knight-Ransomware
Die Knight-Ransomware, der Nachfolger des Cyclops RaaS, erschien im Sommer 2023 auf der Cyberbedrohungslandschaft und konzentriert sich auf die Zielsysteme Windows, macOS und Linux. Die Ransomware hat schnell an Bedeutung gewonnen, da sie Informationsdiebstahl und einen leichten Verschlüsseler für Affiliates auf niedrigerer Ebene bietet, die auf kleinere Organisationen abzielen. Wie ihr Vorgänger operierte Knight nach dem RaaS-Modell und bot Informationsdiebe an, die in der Lage sind, verschlüsselte Dateien an Server zu laden, und nutzte häufig Spam-E-Mails mit bösartigen Anhängen.
Verteidiger haben kürzlich einen Beitrag im RAMP-Forum bemerkt, der einem Hacker mit dem Alias Cyclops zugeschrieben wird, von dem angenommen wird, dass er ein Vertreter der Knight-Ransomware-Operatoren ist. Das zum Verkauf stehende Knight 3.0-Ransomware-Paket umfasst das Kontrollpanel und den Verschlüsselungs- („Locker-„) Mechanismus. Der Verkäufer behauptet, dass der vollständige Quellcode proprietär ist und in Glong C++ geschrieben ist. Die aufgerüstete Ransomware-Version 3.0 wurde Ende Herbst 2023 veröffentlicht und bietet 40 % schnellere Verschlüsselung, ein verbessertes ESXi-Modul zur Unterstützung neuerer Iterationen des Hypervisors und eine Reihe anderer verbesserter Funktionen.
Der Verkäufer erwähnte, dass angesehenen Nutzern, die eine Anzahlung leisten, der Vorzug gegeben wird und die Transaktion durch einen Transaktionsgaranten entweder auf dem RAMP- oder XSS-Hacker-Forum abgewickelt wird. Der Verkäufer erklärte auch, dass der Quellcode nur einmal zum Verkauf angeboten wird, um die Exklusivität und den potenziell signifikanten Wert der Ransomware zu wahren. Da das Opfererpressungsportal der Ransomware-Operation derzeit nicht verfügbar ist und die Knight-Ransomware-Kampagne seit einiger Zeit inaktiv ist, könnten Bedrohungsakteure in Erwägung ziehen, bösartige Operationen einzustellen und ihre Vermögenswerte zu liquidieren, was ein potenzieller Grund für den Verkauf des Ransomware-Quellcodes sein könnte.
Die Verfügbarkeit des Quellcodes zum Verkauf im Dark Web gibt Gegnern grünes Licht, ihr Gegner-Toolkit zu verbessern und weitere Cyberangriffe zu starten. Um einen Wettbewerbsvorteil gegenüber offensiven Kräften zu erlangen, sind Verteidiger bestrebt, proaktiv zu sein und kontinuierlich ihre Bedrohungserkennung und Jagdgeschwindigkeit zu steigern. Mit Zugang zu Uncoder AI, einer fortschrittlichen IDE für Detection Engineering, können Verteidiger schneller und intelligenter Erkennungscode gegen neue Bedrohungen schreiben, sich auf KI-generierte Empfehlungen und Informationen für optimierte Bedrohungsforschung stützen und Erkennungsalgorithmen automatisch in mehrere Cybersicherheitssprachen übersetzen.