Detecção do Ransomware Knight: Código-Fonte do Ransomware 3.0 Disponível para Venda
Índice:
O código-fonte do ransomware Knight, uma reformulação do Cyclops RaaS operação, está disponível para venda em um fórum de hackers. Pesquisadores revelaram um anúncio recente postado no fórum RAMP por um ator de ameaça individual sob o pseudônimo Cyclops, que pertence ao grupo de ransomware Knight. O código-fonte da versão 3.0 do ransomware Knight é oferecido exclusivamente a um único comprador, mantendo seu valor como uma ferramenta proprietária.
Detecção de Ransomware Knight
O ransomware continua a ser a ameaça número um para empresas globalmente, com 70% das organizações mundialmente sendo vítimas de operações de ransomware e o custo médio de um ataque de ransomware alcançando US$ 4,5 milhões. Para se manter à frente de ameaças emergentes que se tornam mais complexas e massivas, os profissionais de segurança estão buscando soluções avançadas para agilizar as investigações de caça às ameaças e garantir a defesa cibernética proativa. A Plataforma SOC Prime oferece o maior repositório de conteúdo de detecção do mundo para os TTPs mais recentes, acompanhado de soluções SaaS exclusivas para Caça às Ameaças e Engenharia de Detecção.
Dado que o código-fonte do ransomware Knight vazou online, especialistas em segurança antecipam um aumento nos ataques que dependem dessa cepa de malware. Para detectar possíveis ataques de ransomware Knight, os defensores cibernéticos podem aplicar regras de detecção selecionadas listadas no Threat Detection Marketplace da SOC Prime.
Clique no botão Explorar Detecções abaixo e aprofunde-se no stack de detecção relevante contra ataques Knight. Todas as regras são compatíveis com 28 soluções de SIEM, EDR, XDR e Data Lake e mapeadas para MITRE ATT&CK v14.1. Além disso, as detecções são enriquecidas com metadados relevantes, incluindo cronogramas de ataques e referências CTI.
Para ajudar os profissionais de segurança a se protegerem contra atores maliciosos de ransomware, as Plataformas SOC Prime agregam centenas de regras para detectar atividades maliciosas associadas. Basta seguir este link para explorar um conjunto correspondente de detecções.
Análise do Ransomware Knight
O ransomware Knight, sucessor do Cyclops RaaS, surgiu no cenário de ameaças cibernéticas no verão de 2023, focando nos sistemas operacionais Windows, macOS e Linux. O ransomware rapidamente ganhou destaque ao oferecer ladrões de informações e um criptografador leve para afiliados de menor nível que miram em organizações menores. Como seu predecessor, o Knight operou sob o modelo RaaS, oferecendo infostealers capazes de fazer upload de arquivos criptografados para servidores e frequentemente aproveitando-se de e-mails de spam com anexos maliciosos.
Os defensores recentemente notaram uma postagem no fórum RAMP atribuída a um hacker com o apelido Cyclops, que se acredita ser um representante dos operadores do ransomware Knight. O pacote de ransomware Knight 3.0 à venda inclui o painel de controle e o mecanismo de criptografia (“locker”). O vendedor afirma que o código-fonte completo é proprietário e está escrito em Glong C++. A versão atualizada do ransomware 3.0 foi lançada no final do outono de 2023, ostentando uma criptografia 40% mais rápida, um módulo ESXi aprimorado para acomodar iterações mais recentes do hipervisor e um conjunto de outras capacidades aprimoradas.
O vendedor mencionou que a preferência seria dada a usuários respeitáveis que fazem um depósito e que a transação seria facilitada através de um garantidor de transação ou no fórum de hackers RAMP ou XSS. O vendedor também afirmou que o código-fonte seria oferecido para venda apenas uma vez, indicando um esforço para preservar a exclusividade e o valor potencialmente significativo do ransomware. Desde que o portal de extorsão de vítimas da operação de ransomware está atualmente indisponível e a campanha de ransomware Knight esteve inativa por um bom tempo, os atores de ameaças podem estar considerando cessar as operações maliciosas e liquidar seus ativos, o que poderia ser um motivo potencial para vender o código-fonte do ransomware.
A disponibilidade do código-fonte para venda na dark web dá luz verde para que adversários melhorem seu kit de ferramentas de adversário e lancem mais ataques cibernéticos. Para ganhar uma vantagem competitiva sobre as forças ofensivas, os defensores estão se esforçando para serem proativos e acelerar continuamente sua velocidade de detecção e caça a ameaças. Com acesso ao Uncoder AI, um IDE avançado para Engenharia de Detecção, os defensores podem escrever código de detecção contra ameaças emergentes mais rápido e de forma mais inteligente, contar com recomendações e inteligência geradas por IA para pesquisas de ameaça agilizadas e traduzir automaticamente algoritmos de detecção em várias linguagens de cibersegurança.
