🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
إلى الخلف
رانسوم وير

فهم برنامج Knight Ransomware: الاستشارات والتحليلات

ظهر Cyclops، الذي أعيدت تسميته الآن باسم Knight المعروف أيضًا باسم Cyclops 2.0، لأول مرة في مايو 2023. نجحت مجموعة Cyclops في تطوير برامج الفدية التي يمكن أن تصيب جميع المنصات الرئيسية الثلاثة: Windows و Linux و macOS و ESXi و Android.
September 8, 2023
7
دقيقة
جدول المحتوى
مثال H2
مثال H2

الفئة:

ذكاء البرامج الضارة

النوع/العائلة:

رانسوم وير

الصناعة:

المنطقة:

في جميع أنحاء العالم

ملخص تنفيذي

قام فريق أبحاث التهديدات في CloudSek بالتحقيق في Knight Ransomware وكانت النقاط البارزة السريعة كما يلي:

  • ظهر Cyclops، الذي أعيدت تسميته الآن باسم Knight المعروف أيضًا باسم Cyclops 2.0، لأول مرة في مايو 2023.
  • نجحت مجموعة Cyclops في تطوير برامج الفدية التي يمكن أن تصيب جميع المنصات الرئيسية الثلاثة: Windows و Linux و macOS و ESXi و Android.
  • امتدت عملية التطوير ثلاث سنوات قبل ظهورها.
  • يقوم ممثل التهديد الذي تم تحديده باسم easy22go، المسؤول عن RaaS (Ransomware-as-a-service)، بتسويق خدماته على المنتديات عبر الإنترنت.
  • تم ترميز برنامج الفدية في Golang.

يتم استضافة اللوحة التي تم الحصول عليها من ممثل التهديد على نطاق onion.

لقطة شاشة للوحة نايت بيلدر على تور

التحليل والإسناد

مقدمة:

تمت إعادة تسمية برنامج الفدية Cyclops باسم Knight الآن. قدمت مجموعة Knight ransomware شكلاً جديدًا من البرامج الضارة التي لا تقوم بتشفير بيانات الشبكة فحسب، بل تقوم أيضًا بتخريبها، ودمج وظائف سرقة البيانات وبرامج الفدية بشكل أساسي. تعمل هذه البرامج الضارة المبتكرة عبر منصات متعددة بما في ذلك ويندوز، ماك أو إس، لينكس، ESXi وأندرويد. وهو مصحوب بشكل خاص بواجهة سهلة الاستخدام. بدأت شركة Cyclops في مايو 2023 وكان تحت تطوير لمدة 3 سنوات. (المصدر: هيومنت)

تدعي مجموعة نايت أنها فريق من 4 أشخاص من روسيا وأوروبا. لم تنشر مجموعة Knight ransomware حتى الآن برامج الفدية الخاصة بها للأفراد. في الوقت الحالي، يركزون على مرحلة التطوير للشركات التابعة المحتملة، بينما يقومون أيضًا بتجنيد الأفراد بنشاط لتسهيل توزيع برامج الفدية من خلال طرق مثل التصيد الاحتيالي أو الهندسة الاجتماعية. تمتلك Knight Gang نسختين حاليًا - ال نسخة خفيفة من أجل أهداف صغيرة والتصيد الاحتيالي ونسخة كاملة للبناة والسارقين. علاوة على ذلك، ادعت عصابة نايت أن لديهم روابط مع مجموعات برامج الفدية مثل لوكبيت و بابوك.

لقطة شاشة لهدف العينة

ميزات البرامج الضارة

تشمل السمات الأساسية لبرنامج Knight ransomware، الذي تم الحصول عليه من خلال الذكاء البشري (HUMINT)، ما يلي:

  • أسماء النطاقات الفردية: يتم تخصيص اسم نطاق فريد لكل هدف، مما يضمن التمويه الشديد وتجنب الاكتشاف.

  • نموذج الدفع الشامل: يشتمل برنامج الفدية على نظام دفع شامل، مما يبسط عملية المعاملة.

  • إعادة هيكلة البرنامج: خضع البرنامج الرئيسي لإصلاح شامل، يضم الإنشاء عبر الإنترنت والتكوين المخصص للمعرفات الفردية. يستخدم كل معرف تقنيات تشويش متنوعة، مما يؤدي إلى إحباط برامج مكافحة الفيروسات.

  • نطاقات TOR المنفصلة: تمتلك كل غرفة الدردشة الجديدة والمستخدمين المنتسبين نطاقات TOR مخصصة، مما يسهل التواصل الأكثر ملاءمة وأمانًا.

  • المعاملات الآلية: يتم الآن تنفيذ المعاملات مع زيادة الأتمتة، مع تخصيص عنوان محفظة مميز لكل ضحية.

  • فك تشفير التجربة عبر الإنترنت: تم تقديم خيار جديد لفك تشفير الإصدار التجريبي عبر الإنترنت، مما يتيح للمستخدمين التابعين تعيين عدد محاولات التجربة بشكل مستقل. بعد الدفع، يتحول فك التشفير من اليدوي إلى التلقائي.

  • تحديثات المحفظة الآلية: تقوم إيصالات الدفع بتشغيل التحديثات التلقائية للمحفظة، مما يبسط العملية.

  • الدعم الشخصي: التواجد المستمر متاح لمعالجة أي استفسارات، والمساعدة في تحسين المتطلبات، وتقديم التخصيص حسب الحاجة.

تحليل لوحة نايت

الصفحة الرئيسية

قائمة الأهداف على اللوحة

لقطة شاشة لغرفة الدردشة للتواصل

عنوان المحفظة

تمنحك لوحة الإنشاء خيارات التخصيص مثل إضافة المسارات وحذفها، بما في ذلك أسماء الملفات واستبعادها، وما إلى ذلك.

تضمين لوحة Builder واستثناءات مسار الملف

يقدم الفارس أداة سرقة المعلومات جنبًا إلى جنب مع برامج الفدية.

تحليل السارق

يأتي Knight Ransomware مع برنامج ضار منفصل يمكن تنزيله من لوحة إنشاء الويب الخاصة ببرامج الفدية. يأتي برنامج Stealer الضار مع مجموعة من الخيارات مثل:

  • قائمة المسارات: يتيح لك هذا الخيار إضافة مسارات دليل متعددة (مقسمة بفاصلة منقوطة) لسرقة الملفات.
  • الحد الأقصى لحجم الملف: يتيح لك هذا الخيار تحديد الحد الأقصى لحجم الملف
  • حجم تقسيم الملف: هذا هو حجم تقسيم الملف الذي سيتم تقسيمه بمجرد وصوله إلى الحد الأقصى لحجم الملف. اسم بادئة الحزمة هو Knight، والحد الأقصى لحجم ملف التشفير هو 500 ميغابايت وحجم الانقسام هو 20 ميغابايت.
  • امتدادات الملفات المدعومة هي txt و jpg و sql ويتم حفظ الملف الناتج باسم knight_result.txt.

لوحة السارق

تكوين السارق

تحليل برامج الفدية

يتم تنفيذ برنامج الفدية الثنائي باستخدام مفتاح وصول وهو مفتاح فريد مرتبط بشركاء محددين في برامج الفدية.

بمجرد تشفير الملفات بواسطة برنامج الفدية، فإنه يسقط مذكرة فدية كما هو موضح في لقطة الشاشة. تم إنشاء المنشئ باستخدام لوحة موقع البصل التي قدمها الممثل. بمجرد تنفيذ أداة إنشاء برامج الفدية، فإنها تشرع في تشفير جميع الملفات داخل نظام الضحية، وتستخدم باستمرار ملحقات عشوائية. خوارزمية التشفير المستخدمة هي تشاتشا 20+AES 256، وهو ما يُلاحظ بشكل مشابه لمنطق تشفير Lockbit و Babuk. عند التعامل مع الملفات الكبيرة، يتم التعرف على سمات الملف، مما يؤدي إلى استخدام تشفير مجزأ. تضمن هذه المنهجية سرعة التشفير مع الحفاظ على معايير التشفير التي لا رجعة فيها. مفاتيح مخصصة بشكل فريد يتم تنفيذها لأقسام الملفات الفردية، مما يميز نهجها عن الممارسات التقليدية المستخدمة من قبل الكيانات الأخرى ويمنع اعتراض الذاكرة بشكل فعال. بالنسبة لكل هدف، يستمر امتداد التشفير في التغيير. عملية فك التشفير التي تتبعها عصابة Knight هي: ملحق عشوائي+معرف+مفتاح رئيسي+مفتاح عشوائي = فك التشفير

تم إسقاط لقطة شاشة للصورة بعد التشفير

لقطة شاشة لمذكرة Ransom بعد تشفير البيانات في نظام الضحية

كما لوحظ في لقطة شاشة مذكرة الفدية أعلاه، ترك ممثل التهديد رابطًا مباشرًا للضحية لدفع الفدية والذي يتضمن السعر وسعر انتهاء الصلاحية وعنوان محفظة البيتكوين وحالة الدفع والتعليمات ولوحة الدردشة وفك التشفير التجريبي.

أمر تنفيذ أداة إنشاء برامج الفدية: مفتاح الوصول إلى مفتاح windows_ransomware.exe

لقطة شاشة لموقع onion link المقدم من ممثل التهديد

تعليمات الدفع وفك التشفير

لقطة شاشة لفك التشفير التجريبي لفك تشفير الملفات المشفرة

سيتم تزويد الضحية بـ 5 عمليات فك تشفير تجريبية (سيتم تحديد عدد التجارب من قبل المهاجم) بحجم 1 ميغابايت لكل منها، وبعد ذلك يتعين عليهم شراء تطبيق decryptor بالسعر الذي حدده المهاجم كما هو موضح أدناه

نافذة دردشة من جانب الضحية متصلة بممثل التهديد

نافذة الدردشة من جانب ممثل التهديد المتصل بالضحية

بعد تنفيذ برنامج الفدية، قام بتشفير جميع الملفات والأدلة المتاحة الموجودة في النظام الكامل بامتدادات عشوائية إلى جانب إسقاط مذكرة الفدية. بعضها موضح أدناه:

لقطة شاشة للملفات المرصّعة في أدلة عشوائية في جميع أنحاء النظام










الاستنتاج:

قدمت عملية Knight ransomware واجهة سهلة الاستخدام مصممة للشركات التابعة لبرامج الفدية. لقد قاموا بدمج خوارزميات تشفير متطورة مثل ChaCha20+AES256 لتشفير وفك تشفير الملفات. ما يميزهم هو قدرتهم على إنتاج إصدارات مخصصة من برامج الفدية إذا طلبت الشركات التابعة لهم ذلك.

تسعى المجموعة بنشاط إلى إقامة شراكات مع الشركات التابعة المحتملة وهي بصدد تجميع فريق ماهر من المتسللين المتقدمين لتسهيل التوزيع الواسع النطاق لبرامج الفدية للمستخدمين المستهدفين. لاحظ محللونا أن المجموعة ملتزمة بتوفير الدعم المستمر على مدار الساعة طوال أيام الأسبوع للشركات التابعة لها، والمساعدة بسهولة في أي استفسارات أو مشكلات قد تنشأ.

أحد الجوانب المميزة لعملية Knight ransomware هو دمج الميزات الفريدة داخل منشئها، وتمييزها عن المنصات الأخرى المماثلة. تشمل هذه الميزات المميزة الدعم الشخصي، الذي يتجاوز القاعدة، بالإضافة إلى العديد من السمات البارزة الأخرى. تتضمن هذه السمات استخدام نطاقات TOR المميزة لكل هدف محدد، ونظام آلي لتحديث مدفوعات المحفظة، ومجموعة من الوظائف البارزة الأخرى.

شريا تالوكدار
باحث في مجال استخبارات التهديدات الإلكترونية
لم يتم العثور على أية عناصر.

مدونات ذات صلة

هذا نص داخل كتلة div.
رانسوم وير
January 29, 2025
5
دقيقة
الكشف عن مجموعات برامج الفدية المتعطشة للوسائط: Bashe (APT73)
اقرأ المزيد
هذا نص داخل كتلة div.
رانسوم وير
5
دقيقة
اضطراب كبير في الدفع: برامج الفدية تضرب البنية التحتية المصرفية الهندية
اقرأ المزيد
هذا نص داخل كتلة div.
رانسوم وير
November 4, 2023
6
دقيقة
Underground Marketplace يكشف النقاب عن برامج الفدية الجديدة التي تقدم QBit مع التشفير المتقدم والتخصيص
اقرأ المزيد