🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Ransomware

Compreendendo o Knight Ransomware: consultoria, análise

Cyclops, agora renomeado como Knight, também conhecido como Cyclops 2.0, estreou em maio de 2023. O grupo Cyclops desenvolveu com sucesso um ransomware que pode infectar as três principais plataformas: Windows, Linux, macOS, ESXi e Android.
September 8, 2023
7
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Categoria:

Inteligência de malware

Tipo/família:

Ransomware

Indústria:

Região:

Em todo o mundo

Sumário executivo

A equipe de pesquisa de ameaças da CloudSEK investigou o Knight Ransomware e os destaques rápidos são os seguintes:

  • Cyclops, agora renomeado como Knight, também conhecido como Cyclops 2.0, estreou em maio de 2023.
  • O grupo Cyclops desenvolveu com sucesso um ransomware que pode infectar as três principais plataformas: Windows, Linux, macOS, ESXi e Android.
  • O processo de desenvolvimento durou três anos antes de seu surgimento.
  • O agente da ameaça identificado como easy22go, responsável por esse RaaS (Ransomware-as-a-Service), comercializa seus serviços em fóruns on-line.
  • O ransomware é codificado em Golang.

O painel adquirido do agente da ameaça está hospedado em um domínio onion.

Captura de tela do painel do construtor Knight no Tor

Análise e atribuição

Introdução:

O ransomware Cyclops foi renomeado como Knight agora. O grupo de ransomware Knight introduziu uma nova forma de software malicioso que não apenas criptografa os dados de uma rede, mas também os exfiltra, essencialmente mesclando as funções de roubo de dados e ransomware. Esse malware inovador está operacional em várias plataformas, incluindo Windows, Mac OS, Linux, ESXi e Android. É acompanhado principalmente por uma interface amigável. O Ciclope foi iniciado em Maio de 2023 e esteve abaixo desenvolvimento por 3 anos. (fonte: HUMINT)

O grupo Knight afirma ser um equipe de 4 pessoas originárias da Rússia e da Europa. O grupo de ransomware Knight ainda não implantou seu ransomware em indivíduos. Atualmente, eles estão focados no estágio de desenvolvimento de afiliados em potencial, ao mesmo tempo em que recrutam ativamente indivíduos para facilitar a distribuição do ransomware por meio de métodos como phishing ou engenharia social. The Knight Gang possui duas versões atualmente - O versão light pelo alvos pequenos e phishing e uma versão completa para construtores e ladrões. Além disso, a gangue Knight alegou ter vínculos com grupos de ransomware como Lockbit e Babuk.

Captura de tela do alvo da amostra

Características do malware

Os atributos essenciais do ransomware Knight, obtidos por meio da inteligência humana (HUMINT), incluem:

  • Nomes de domínio individuais: um nome de domínio exclusivo é atribuído a cada alvo, garantindo maior camuflagem e evitando a detecção.

  • Modelo de pagamento abrangente: o ransomware incorpora um sistema de pagamento completo, simplificando o processo de transação.

  • Reestruturação do programa: O programa principal passou por uma revisão completa, com geração on-line e configuração personalizada para IDs individuais. Cada ID utiliza diversas técnicas de ofuscação, impedindo o software antivírus.

  • Domínios TOR segregados: a nova sala de bate-papo e os usuários afiliados possuem domínios TOR dedicados, facilitando uma comunicação mais conveniente e segura.

  • Transações automatizadas: as transações agora são executadas com maior automação, com cada vítima atribuído a um endereço de carteira distinto.

  • Descriptografia de teste on-line: uma nova opção de descriptografia de teste on-line foi introduzida, permitindo que os usuários afiliados definam de forma independente o número de tentativas de teste. Após o pagamento, a decodificação muda de manual para automática.

  • Atualizações automatizadas da carteira: os recibos de pagamento acionam atualizações automáticas na carteira, simplificando o processo.

  • Suporte personalizado: uma presença constante está disponível para responder a qualquer dúvida, ajudar no refinamento dos requisitos e oferecer personalização conforme necessário.

Análise do Knight Panel

A página inicial

Lista de alvos no painel

Captura de tela da sala de bate-papo para comunicação

Endereço da carteira

O painel do construtor oferece opções de personalização, como adicionar e excluir caminhos, incluir e excluir nomes de arquivos, etc.

Inclusões e exclusões do painel Builder do caminho do arquivo

O cavaleiro oferece ladrão de informações junto com ransomware.

Análise do Stealer

O Knight Ransomware vem com um malware ladrão separado que pode ser baixado do painel do construtor de sites de ransomware. O malware ladrão vem com uma variedade de opções, como:

  • Lista de caminhos: Essa opção permite adicionar vários caminhos de diretório (dividindo com ponto e vírgula) para roubar arquivos.
  • Tamanho máximo do arquivo: esta opção permite que você decida o tamanho máximo do arquivo
  • Tamanho da divisão do arquivo: Esse é o tamanho da divisão do arquivo que será dividido quando atingir o limite máximo de tamanho do arquivo. O nome do prefixo do pacote é Knight, o tamanho máximo do arquivo de criptografia é 500 MB e o tamanho da divisão é 20 MB.
  • As extensões de arquivo suportadas são txt, jpg, sql e o arquivo resultante é salvo como knight_result.txt.

Painel Stealer

Configuração do Stealer

Análise de ransomware

O binário do ransomware é executado com uma chave de acesso que é uma chave exclusiva associada a associados específicos do ransomware.

Depois que os arquivos são criptografados pelo ransomware, ele emite uma nota de resgate conforme retratado na captura de tela. O construtor é criado usando o painel onion site fornecido pelo ator. Depois que o construtor de ransomware é executado, ele criptografa todos os arquivos no sistema da vítima, utilizando de forma consistente extensões aleatórias. O algoritmo de criptografia usado é Chacha20+AES256, que é observado de forma semelhante à lógica de criptografia Lockbit e Babuk. Ao lidar com arquivos grandes, os atributos do arquivo são reconhecidos, levando à utilização de criptografia segmentada. Essa metodologia garante a velocidade da criptografia e, ao mesmo tempo, mantém padrões de criptografia irreversíveis. Chaves atribuídas de forma exclusiva são implementados para seções de arquivos individuais, diferenciando sua abordagem das práticas convencionais usadas por outras entidades e evitando efetivamente a interceptação de memória. Para cada alvo, a extensão da criptografia continua mudando. O processo de decodificação seguido pela gangue Knight é: extensão aleatória+ID+chave principal+chave aleatória = decifrador

Captura de tela da imagem perdida após a criptografia

Captura de tela da nota de resgate após a criptografia de dados no sistema da vítima

Conforme observado na captura de tela da nota de resgate acima, o agente da ameaça deixou um link para a vítima pagar o resgate, que inclui preço, preço de validade, endereço da carteira de bitcoin, status do pagamento, instruções, painel de bate-papo e decodificação experimental.

Comando de execução do construtor de ransomware: windows_ransomware.exe -key ACCESS_KEY

Captura de tela do site onion link fornecida pelo ator de ameaças

Instruções para pagamento e decodificação

Captura de tela da descriptografia de teste para descriptografar os arquivos criptografados

A vítima receberá 5 decodificações de teste (o número de testes será definido pelo atacante) de 1 MB cada, após as quais ela deverá comprar o aplicativo de decodificação com o preço definido pelo atacante, conforme mostrado abaixo

Janela de bate-papo do lado da vítima conectada ao ator da ameaça

Janela de bate-papo do lado do agente da ameaça conectada à vítima

Após a execução do ransomware, ele criptografou todos os arquivos e diretórios disponíveis presentes em todo o sistema com extensões aleatórias, além de emitir uma nota de resgate. Alguns deles são mostrados abaixo:

Captura de tela de arquivos incrustados em diretórios aleatórios em todo o sistema










Conclusão:

A operação de ransomware Knight introduziu uma interface amigável, personalizada para seus afiliados de ransomware. Eles incorporaram algoritmos de criptografia de ponta, como ChaCha20+AES256, para a criptografia e descriptografia de arquivos. O que os diferencia é a capacidade de produzir versões personalizadas do ransomware, se solicitadas por seus afiliados.

O grupo está buscando ativamente parcerias com afiliados em potencial e está montando uma equipe qualificada de hackers avançados para facilitar a distribuição generalizada do ransomware aos usuários-alvo. Nossos analistas notaram que o grupo está comprometido em fornecer suporte contínuo 24 horas por dia, 7 dias por semana, a seus afiliados, auxiliando prontamente com quaisquer dúvidas ou problemas que possam surgir.

Um dos aspectos distintivos da operação do ransomware Knight é a incorporação de recursos exclusivos em seu construtor, diferenciando-os de outras plataformas semelhantes. Essas características distintivas abrangem suporte personalizado, que vai além da norma, bem como vários outros atributos notáveis. Esses atributos incluem a utilização de domínios TOR distintos para cada alvo específico, um sistema automatizado para atualizar pagamentos de carteira e uma série de outras funcionalidades importantes.

Shreya Talukdar
Cyber Threat Intelligence Researcher
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Ransomware
January 29, 2025
5
min
Desmascarando grupos de ransomware ávidos por mídia: Bashe (APT73)
Leia mais
Este é um texto dentro de um bloco div.
Ransomware
min
Grande interrupção no pagamento: ransomware atinge a infraestrutura bancária indiana
Leia mais
Este é um texto dentro de um bloco div.
Ransomware
June 4, 2023
8
min
Por dentro do infame grupo Royal Ransomware: revelando seu reinado de caos cibernético
Leia mais