Night Sky es el último ransomware dirigido a redes corporativas

Es un año nuevo y con él llega un nuevo ransomware para vigilar llamado "Night Sky" que se dirige a las redes corporativas y roba datos en ataques de doble extorsión.

Según MalwareHunterteam, que primer avistado El nuevo ransomware, Operation Night Sky, comenzó el 27 de diciembre y desde entonces ha publicado los datos de dos víctimas.

Una de las víctimas recibió una nota de rescate inicial de $ 800,000 para obtener un descifrador y no publicar los datos robados.

Índice de contenidos
  1. Cómo el cielo nocturno cifra los dispositivos
  2. Tácticas de doble extorsión

Cómo el cielo nocturno cifra los dispositivos

Una muestra del ransomware Night Sky visto por BleepingComputer está personalizada para contener una nota de rescate personalizada y credenciales de inicio de sesión cifradas para acceder a la página de negociación de la víctima.

Una vez iniciado, el ransomware cifrará todos los archivos excepto los que terminen con las extensiones de archivo .dll o .exe. Además, el ransomware no cifrará ningún archivo o carpeta en la siguiente lista:

AppData
Boot
Windows
Windows.old
Tor Browser
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
$Recycle.Bin
ProgramData
All Users
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr.efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
Program Files
Program Files (x86)
#recycle

Durante el cifrado de archivos, Night Sky agregará el .cielo nocturno extensión a los nombres de archivo cifrados, como se muestra en la imagen a continuación.

Archivos cifrados de Night Sky
Archivos cifrados de Night Sky
Fuente: BleepingComputer

En cada carpeta una nota de rescate llamada NightSkyReadMe.hta contiene información relacionada con lo que fue robado, correos electrónicos de contacto y credenciales encriptadas para la página de negociación de la víctima.

Nota de rescate de Night Sky
Nota de rescate de Night Sky
Fuente: BleepingComputer

En lugar de usar un sitio Tor para comunicarse con las víctimas, Night Sky usa direcciones de correo electrónico y un sitio web claro que ejecuta Rocket.Chat. Las credenciales se utilizan para acceder a la URL de Rocket.Chat proporcionada en la nota de rescate.

Night Sky Rocket.Chat sitio de comercio
Night Sky Rocket.Chat sitio de comercio
Fuente: BleepingComputer

Tácticas de doble extorsión

Una táctica común utilizada por las operaciones de ransomware es robar datos no cifrados de las víctimas antes de cifrar los dispositivos en la red.

Los actores de la amenaza luego utilizan estos datos robados en una estrategia de "doble extorsión", en la que amenazan con filtrar los datos a menos que se pague un rescate.

Para revelar los datos de las víctimas, Night Sky creó un sitio de filtración de datos Tor que actualmente incluye dos víctimas, una de Bangladesh y la otra de Japón.

Sitio de fuga de datos de Night Sky
Sitio de fuga de datos de Night Sky
Fuente: BleepingComputer

Si bien no ha habido mucha actividad con la nueva operación de ransomware Night Sky, es algo que debemos vigilar a medida que nos acercamos al nuevo año.

Descubre más contenido

Subir Change privacy settings