Night Sky Ransomware
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Classement : le classement d'une menace particulière dans la base de données des menaces d'EnigmaSoft.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Niveau de menace: | 100 % (Haute) |
| Ordinateurs infectés : | 4 |
| Vu la première fois: | January 7, 2022 |
| Vu pour la dernière fois : | April 26, 2023 |
| Systèmes d'exploitation concernés: | Windows |
Certains cybercriminels ont décidé de ne pas faire de pause pendant les vacances et de se concentrer plutôt sur la recherche de nouvelles victimes pour leurs attaques de ransomware. L'un de ces groupes est constitué des pirates informatiques à l'origine de la nouvelle menace Night Sky Ransomware. Ce malware particulier a été repéré pour la première fois par des chercheurs qui pensent que l'opération Night Sky a été lancée le 27 décembre 2021. En un peu plus d'une semaine plus tard, la menace Night Sky a réussi à infecter deux entreprises victimes, l'une du Japon et l'autre du Bangladesh.
Détails techniques
Comme la plupart des opérations de ransomware ciblant les entreprises, les cybercriminels Night Sky Ransomware utilisent également deux tactiques d'extorsion différentes. Ils verrouillent les fichiers cruciaux stockés sur les ordinateurs infectés mais pas avant de les avoir exfiltrés vers leur propre serveur. Par la suite, ils menacent les victimes qui ne veulent pas payer la rançon demandée que les données collectées soient soit vendues à des concurrents, soit rendues publiques via un site de fuite dédié.
Quant au Night Sky Ransomware lui-même, la menace utilise un algorithme de cryptage indéchiffrable pour verrouiller un grand nombre de types de fichiers. Les seuls qui resteront intacts sont ceux avec .dll. et les extensions .exe, car leur altération peut entraîner un dysfonctionnement du système d'exploitation de l'appareil ou provoquer des erreurs critiques. Principalement pour la même raison, le ransomware évitera également de crypter une liste de 30 fichiers et dossiers spécifiquement choisis.environ. Ceux-ci incluent AppData, Boot, Windows, ProgramData, boot.ini, ntldr et plus encore. Tous les autres fichiers seront cryptés et '.nightsky' sera ajouté à leur nom d'origine.
Aperçu de la note de rançon
Après avoir terminé son processus de cryptage, Night Sky Ransomware déposera un fichier de demande de rançon dans chaque dossier contenant les données verrouillées. Ces fichiers nouvellement créés seront nommés "NightSkyReadMe.hta". Ils contiennent un message de demande de rançon qui a été personnalisé pour la victime spécifique. Ainsi, certains détails, dont le montant de la rançon, pourraient varier. Les preuves actuelles montrent que l'une des deux victimes actuelles des opérations de Night Sky a été invitée à payer 800 000 $ pour recevoir un outil de décryptage et éviter que ses données ne soient divulguées.
Les notes de rançon contiennent également des identifiants de connexion codés en dur pour la page de négociation des cybercriminels. Contrairement à d'autres groupes de hackers de ce type, Night Sky n'utilise pas de site Web Tor à des fins de communication. Au lieu de cela, les victimes sont dirigées vers un site Web normal qui exécute Rocket.Chat. Or, le site de fuite du groupe qui contient les données de leurs victimes est bel et bien hébergé sur le réseau Tor.
