Rilevamento del Ransomware Knight: Codice Sorgente del Ransomware 3.0 Disponibile in Vendita
Indice:
Il codice sorgente del ransomware Knight, una nuova versione del Cyclops RaaS operazione, è disponibile per la vendita su un forum di hacking. I ricercatori hanno rivelato un recente annuncio pubblicato sul forum RAMP da un attore di minacce individuale sotto il soprannome Cyclops, che appartiene alla gang del ransomware Knight. Il codice sorgente della versione 3.0 del ransomware Knight è offerto esclusivamente a un unico acquirente, mantenendo il suo valore come strumento proprietario.
Rilevamento del Ransomware Knight
Il ransomware rimane una minaccia numero uno per le aziende a livello globale, con il 70% delle organizzazioni in tutto il mondo vittime di operazioni di ransomware e il costo medio di un attacco ransomware che raggiunge 4,5 milioni di dollari. Per stare al passo con le minacce emergenti che diventano sempre più complesse e massicce, i professionisti della sicurezza stanno cercando soluzioni avanzate per ottimizzare le indagini di caccia alle minacce e garantire una difesa informatica proattiva. La piattaforma SOC Prime offre il più grande archivio di contenuti di rilevamento per le più recenti TTP accompagnate da soluzioni SaaS esclusive per l’Hunting delle minacce e l’Ingegneria del Rilevamento.
Dati che il codice sorgente del ransomware Knight è trapelato online, gli esperti di sicurezza prevedono un aumento degli attacchi che si basano su questo ceppo di malware. Per rilevare possibili attacchi di ransomware Knight, i difensori informatici potrebbero applicare regole di rilevamento curate elencate nel Threat Detection Marketplace di SOC Prime.
Premi il pulsante Esplora i Rilevamenti di seguito e approfondisci lo stack di rilevamento pertinente contro gli attacchi Knight. Tutte le regole sono compatibili con 28 soluzioni SIEM, EDR, XDR e Data Lake e mappate su MITRE ATT&CK v14.1. Inoltre, i rilevamenti sono arricchiti con metadati rilevanti, tra cui cronologie degli attacchi e riferimenti CTI.
Per aiutare i professionisti della sicurezza a proteggersi dagli attori ransomware nefasti, le piattaforme SOC Prime aggregano centinaia di regole per rilevare le attività dannose associate. Basta seguire questo link per esplorare un set di rilevamenti corrispondenti.
Analisi del Ransomware Knight
Il ransomware Knight, successore del Cyclops RaaS, è apparso nel panorama delle minacce informatiche nell’estate del 2023, concentrandosi sul targeting dei sistemi operativi Windows, macOS e Linux. Il ransomware ha rapidamente guadagnato notorietà offrendo stealer di informazioni e un encryptor leggero per gli affiliati di livello inferiore che prendono di mira organizzazioni più piccole. Come il suo predecessore, Knight operava sotto il modello RaaS, offrendo infostealers capaci di caricare file criptati su server e utilizzando comunemente email di spam con allegati dannosi.
I difensori hanno recentemente notato un post sul forum RAMP attribuito a un hacker con l’alias Cyclops, che si ritiene sia un rappresentante degli operatori del ransomware Knight. Il pacchetto ransomware Knight 3.0 in vendita include il pannello di controllo e il meccanismo di cifratura (“locker”). Il venditore afferma che il codice sorgente completo è proprietario ed è scritto in Glong C++. La versione aggiornata del ransomware 3.0 è stata rilasciata a fine autunno 2023, vantando una cifratura 40% più veloce, un modulo ESXi migliorato per accogliere le iterazioni più recenti dell’hypervisor e un set di altre capacità avanzate.
Il venditore ha menzionato che la preferenza sarà data agli utenti rispettabili che effettuano un deposito e che la transazione sarà facilitata tramite un garante della transazione su uno dei forum di hacking RAMP o XSS. Il venditore ha anche dichiarato che il codice sorgente verrà offerto in vendita solo una volta, indicando un tentativo di preservare l’esclusività e il potenziale valore significativo del ransomware. Dato che il portale di estorsione delle vittime dell’operazione di ransomware è attualmente non disponibile e la campagna del ransomware Knight è inattiva da un po’ di tempo, gli attori delle minacce potrebbero considerare di cessare le operazioni dannose e liquidare i loro beni, il che potrebbe essere una ragione potenziale per vendere il codice sorgente del ransomware.
La disponibilità del codice sorgente in vendita sul dark web offre agli avversari il via libera per migliorare il loro toolkit avversario e lanciare più attacchi informatici. Per guadagnare un vantaggio competitivo sulle forze offensive, i difensori stanno cercando di essere proattivi e di accelerare continuamente la loro velocità di rilevamento e caccia alle minacce. Con l’accesso a Uncoder AI, un IDE avanzato per l’Ingegneria del Rilevamento, i difensori possono scrivere codice di rilevamento contro le minacce emergenti in modo più veloce e intelligente, fare affidamento su raccomandazioni e intelligence generate dall’AI per una ricerca delle minacce ottimizzata e tradurre automaticamente gli algoritmi di rilevamento attraverso diversi linguaggi di sicurezza informatica.
