Detección de Knight Ransomware: Código Fuente de Ransomware 3.0 Disponible para la Venta
Tabla de contenidos:
El código fuente del ransomware Knight, una nueva marca de Cyclops RaaS operación, está disponible para la venta en un foro de piratería. Los investigadores revelaron un anuncio reciente publicado en el foro RAMP por un actor de amenaza individual bajo el seudónimo Cyclops que pertenece a la banda de ransomware Knight. El código fuente del ransomware Knight versión 3.0 se ofrece exclusivamente a un solo comprador, manteniendo su valor como una herramienta propietaria.
Detección del Ransomware Knight
El ransomware sigue siendo la amenaza número uno para las empresas a nivel mundial, con el 70% de las organizaciones en todo el mundo siendo víctimas de operaciones de ransomware y el costo promedio de un ataque de ransomware alcanzando los 4,5 millones de dólares. Para mantenerse por delante de las amenazas emergentes que se vuelven más complejas y masivas, los profesionales de seguridad están buscando soluciones avanzadas para agilizar las investigaciones de caza de amenazas y garantizar una defensa cibernética proactiva. La Plataforma SOC Prime ofrece el repositorio de contenido de detección más grande del mundo para los últimos TTP acompañados de soluciones SaaS exclusivas para Threat Hunting y Detection Engineering.
En vista de que el código fuente del ransomware Knight se ha filtrado en línea, los expertos en seguridad anticipan un aumento en los ataques que dependen de esta cepa de malware. Para detectar posibles ataques de ransomware Knight, los defensores cibernéticos podrían aplicar reglas de detección seleccionadas enumeradas en el mercado de detección de amenazas de SOC Prime.
Pulse el Explorar Detecciones botón a continuación y profundice en la pila de detección relevante contra los ataques de Knight. Todas las reglas son compatibles con 28 soluciones SIEM, EDR, XDR y Data Lake y mapeadas a MITRE ATT&CK v14.1. Además, las detecciones se enriquecen con metadatos relevantes, incluidas las líneas de tiempo de ataque y referencias CTI.
Para ayudar a los profesionales de seguridad a protegerse contra actores de ransomware nefastos, las plataformas SOC Prime agregan cientos de reglas para detectar actividad maliciosa asociada. Simplemente sigue este enlace para explorar un conjunto correspondiente de detecciones.
Análisis del Ransomware Knight
El ransomware Knight, sucesor del Cyclops RaaS, llegó al panorama de ciberamenazas en el verano de 2023, centrado en atacar sistemas operativos Windows, macOS y Linux. El ransomware rápidamente ganó protagonismo al ofrecer ladrones de información y un encriptador ligero a afiliados de nivel inferior que apuntaban a organizaciones más pequeñas. Al igual que su predecesor, Knight operaba bajo el modelo RaaS, ofreciendo infostealers capaces de cargar archivos encriptados a servidores y comúnmente aprovechando correos electrónicos de spam con archivos adjuntos maliciosos.
Los defensores notaron recientemente una publicación en el foro RAMP atribuida a un hacker con el alias Cyclops, quien se cree que es un representante de los operadores de ransomware Knight. El paquete de ransomware Knight 3.0 a la venta incluye el panel de control y el mecanismo de encriptación («locker»). El vendedor afirma que el código fuente completo es propietario y está escrito en Glong C++. La versión mejorada de ransomware 3.0 se lanzó a fines del otoño de 2023, exhibiendo un 40% de encriptación más rápida, un módulo ESXi mejorado para acomodar nuevas iteraciones del hipervisor y un conjunto de otras capacidades mejoradas.
El vendedor mencionó que se daría preferencia a usuarios reputados que hicieran un depósito y que la transacción sería facilitada a través de un garante de la transacción en el foro de piratería RAMP o XSS. El vendedor también declaró que el código fuente se ofrecería a la venta solo una vez, indicando un esfuerzo por preservar la exclusividad y el valor potencialmente significativo del ransomware. Dado que el portal de extorsión de víctimas de la operación de ransomware actualmente no está disponible y la campaña de ransomware Knight ha estado inactiva durante bastante tiempo, los actores de amenaza podrían estar considerando cesar las operaciones maliciosas y liquidar sus activos, lo que podría ser una posible razón para vender el código fuente del ransomware.
La disponibilidad del código fuente para la venta en la web oscura da luz verde a los adversarios para mejorar su kit de herramientas adversarias y lanzar más ciberataques. Para ganar una ventaja competitiva sobre las fuerzas ofensivas, los defensores se esfuerzan por ser proactivos y acelerar continuamente su velocidad de detección y caza de amenazas. Con acceso a Uncoder AI, un IDE avanzado para la Ingeniería de Detección, los defensores pueden escribir código de detección contra amenazas emergentes más rápido e inteligentemente, confiar en recomendaciones e inteligencia generadas por IA para una investigación de amenazas simplificada y traducir automáticamente algoritmos de detección a través de múltiples lenguajes de ciberseguridad.
