Night Sky Ransomware
Cuadro de Mando de Amenazas
Cuadro de mando de amenazas EnigmaSoft
EnigmaSoft Threat Scorecards son informes de evaluación de diferentes amenazas de malware que nuestro equipo de investigación ha recopilado y analizado. Los cuadros de mando de amenazas de EnigmaSoft evalúan y clasifican las amenazas utilizando varias métricas que incluyen factores de riesgo reales y potenciales, tendencias, frecuencia, prevalencia y persistencia. Los cuadros de mando de amenazas de EnigmaSoft se actualizan regularmente en función de nuestros datos y métricas de investigación y son útiles para una amplia gama de usuarios de computadoras, desde usuarios finales que buscan soluciones para eliminar malware de sus sistemas hasta expertos en seguridad que analizan amenazas.
EnigmaSoft Threat Scorecards muestra una variedad de información útil, que incluye:
Clasificación: la clasificación de una amenaza en particular en la base de datos de amenazas de EnigmaSoft.
Nivel de severidad: El nivel de severidad determinado de un objeto, representado numéricamente, basado en nuestro proceso de modelado de riesgo e investigación, como se explica en nuestros Criterios de evaluación de amenazas .
Computadoras infectadas: la cantidad de casos confirmados y sospechosos de una amenaza particular detectada en computadoras infectadas según lo informado por SpyHunter.
Consulte también Criterios de evaluación de amenazas .
Nivel de amenaza: | 100 % (Elevado) |
Computadoras infectadas: | 4 |
Visto por primera vez: | January 7, 2022 |
Ultima vez visto: | April 26, 2023 |
SO(s) afectados: | Windows |
Algunos ciberdelincuentes decidieron no tomarse un descanso durante las vacaciones y, en su lugar, concentrarse en encontrar nuevas víctimas para sus ataques de ransomware. Uno de esos grupos está formado por los piratas informáticos detrás de la amenaza Night Sky Ransomware recientemente descubierta. Este malware en particular fue detectado por primera vez por investigadores que creen que la operación Night Sky se lanzó el 27 de diciembre de 2021. Poco más de una semana después, la amenaza Night Sky logró infectar a dos víctimas corporativas, una de Japón y otra de Bangladesh.
Detalles técnicos
Como la mayoría de las operaciones de ransomware dirigidas a entidades corporativas, los ciberdelincuentes de Night Sky Ransomware también utilizan dos tácticas de extorsión diferentes. Bloquean archivos cruciales almacenados en las computadoras infectadas, pero no antes de exfiltrarlos a su propio servidor. Luego, amenazan a las víctimas que no están dispuestas a pagar el rescate exigido con que los datos recopilados se venderán a competidores o se divulgarán al público a través de un sitio de fugas dedicado.
En cuanto al propio Night Sky Ransomware, la amenaza utiliza un algoritmo de cifrado imposible de descifrar para bloquear una gran cantidad de tipos de archivos. Los únicos que quedarán intactos son aquellos con .dll. y las extensiones .exe, ya que manipularlas podría causar que el sistema operativo del dispositivo no funcione correctamente o experimente errores críticos. Principalmente por la misma razón, el ransomware también evitará cifrar una lista de 30 archivos y carpetas elegidos específicamenteaproximadamente. Estos incluyen AppData, Boot, Windows, ProgramData, boot.ini, ntldr y más. Todos los demás archivos se cifrarán y se agregará '.nightsky' a sus nombres originales.
Descripción general de la nota de rescate
Después de completar su proceso de cifrado, Night Sky Ransomware dejará caer un archivo de nota de rescate en cada carpeta que contenga los datos bloqueados. Estos archivos recién creados se llamarán 'NightSkyReadMe.hta'. Contienen un mensaje que exige un rescate que ha sido personalizado para la víctima específica. Como tal, algunos detalles, incluido el monto del rescate, podrían variar. La evidencia actual muestra que a una de las dos víctimas actuales de las operaciones de Night Sky se le ha pedido que pague $ 800,000 para recibir una herramienta de descifrado y evitar que se divulguen sus datos.
Las notas de rescate también contienen credenciales de inicio de sesión codificadas para la página de negociación de los ciberdelincuentes. A diferencia de otros grupos de hackers de este tipo, Night Sky no utiliza un sitio web de Tor con fines de comunicación. En cambio, las víctimas son dirigidas a un sitio web normal que ejecuta Rocket.Chat. Sin embargo, el sitio de fuga del grupo que contiene los datos de sus víctimas está alojado en la red Tor.