Détection du Ransomware Knight : Code Source du Ransomware 3.0 Disponible à la Vente
Table des matières :
Le code source du ransomware Knight, une re-marque de Cyclops RaaS opération, est disponible à la vente sur un forum de hacking. Des chercheurs ont révélé une annonce récente postée sur le forum RAMP par un acteur de la menace individuel sous le pseudonyme Cyclops qui appartient au gang de ransomware Knight. Le code source pour la version 3.0 de Knight ransomware est exclusivement offert à un seul acheteur, maintenant sa valeur en tant qu’outil propriétaire.
Détection du ransomware Knight
Les ransomwares restent la menace numéro un pour les entreprises à l’échelle mondiale, avec 70% des organisations dans le monde tombant victimes d’opérations de ransomware et le coût moyen d’une attaque atteignant 4,5 millions de dollars. Pour rester en avance sur les menaces émergentes devenant plus complexes et massives, les praticiens de la sécurité recherchent des solutions avancées pour rationaliser les enquêtes de chasse aux menaces et assurer une défense cyber proactive. La plateforme SOC Prime offre le plus grand référentiel de contenu de détection au monde pour les derniers TTPs accompagnés de solutions SaaS exclusives pour la chasse aux menaces et l’ingénierie de détection.
Compte tenu que le code source du ransomware Knight a fuité en ligne, les experts en sécurité anticipent une augmentation des attaques reposant sur cette souche de malware. Pour détecter d’éventuelles attaques du ransomware Knight, les cyber-défenseurs pourraient appliquer des règles de détection organisées répertoriées dans le Marché de Détection de Menaces de SOC Prime.
Cliquez sur le Explorer les Détections bouton ci-dessous et explorez l’ensemble de détections pertinent contre les attaques de Knight. Toutes les règles sont compatibles avec 28 solutions SIEM, EDR, XDR, et Data Lake et mappées à MITRE ATT&CK v14.1. De plus, les détections sont enrichies de métadonnées pertinentes, incluant des chronologies d’attaques et des références CTI.
Pour aider les professionnels de la sécurité à se protéger contre les acteurs de ransomware néfastes, les plateformes SOC Prime agrègent des centaines de règles pour détecter les activités malveillantes associées. Suivez simplement ce lien pour explorer un ensemble de détections correspondant.
Analyse du Ransomware Knight
Le ransomware Knight, successeur de Cyclops RaaS, est apparu sur le paysage des menaces cyber en été 2023, axé sur le ciblage des systèmes d’exploitation Windows, macOS et Linux. Le ransomware a rapidement accédé à la lumière par l’offre de voleurs d’informations et d’un encodeur léger aux affiliés de niveau inférieur ciblant les petites organisations. Comme son prédécesseur, Knight fonctionnait selon le modèle RaaS, offrant des voleurs d’informations capables de télécharger des fichiers cryptés sur des serveurs et utilisant couramment des courriels de spam avec pièces jointes malveillantes.
Les défenseurs ont récemment remarqué un post sur le forum RAMP attribué à un hacker avec le pseudonyme Cyclops qui est censé être un représentant des opérateurs de ransomware Knight. Le package Knight 3.0 ransomware en vente inclut le panneau de contrôle et le mécanisme de chiffrement (« locker »). Le vendeur affirme que le code source complet est propriétaire et est écrit en Glong C++. La version améliorée du ransomware 3.0 a été publiée à la fin de l’automne 2023, vantant un chiffrement 40% plus rapide, un module ESXi amélioré pour accueillir les itérations plus récentes de l’hyperviseur et un ensemble d’autres capacités améliorées.
Le vendeur a mentionné que la préférence serait donnée aux utilisateurs réputés qui font un dépôt et que la transaction serait facilitée par un garant de transaction soit sur le forum RAMP soit sur le forum de hacker XSS. Le vendeur a également déclaré que le code source ne serait offert à la vente qu’une seule fois, indiquant un effort pour préserver l’exclusivité et la valeur potentiellement significative du ransomware. Comme le portail d’extorsion des victimes de l’opération de ransomware est actuellement indisponible et que la campagne de ransomware Knight est inactive depuis un certain temps, les acteurs de la menace pourraient envisager de cesser les opérations malveillantes et de liquider leurs actifs, ce qui pourrait être une raison potentielle pour vendre le code source du ransomware.
La disponibilité du code source à la vente sur le dark web donne aux adversaires le feu vert pour améliorer leur outil d’adversité et lancer plus d’attaques cyber. Pour gagner un avantage concurrentiel sur les forces offensives, les défenseurs s’efforcent d’être proactifs et d’accélérer continuellement leur vitesse de détection et de chasse aux menaces. Avec accès à Uncoder AI, un IDE avancé pour l’ingénierie de détection, les défenseurs peuvent écrire du code de détection contre les menaces émergentes plus rapidement et de manière plus intelligente, s’appuyer sur des recommandations et des informations générales générées par l’IA pour une recherche de menaces rationalisée, et traduire automatiquement des algorithmes de détection à travers plusieurs langages de cybersécurité.
