22/02/24
Один из представителей группировки, известный под псевдонимом Cyclops, разместил объявление на платформе RAMP.
Knight Ransomware, впервые появившийся в июле 2023 года, атакует операционные системы Windows, macOS и Linux/ESXi. Важно упомянуть, что хакеры прокачали софт, и к продаже предлагают самую свежую – третью версию с улучшенными возможностями для атак. Объявление обнаружили аналитики из компании KELA.
Группа Knight в свое время привлекла внимание киберпреступного сообщества, так как предоставляла аффилиатам инфостилеры и упрощенную версию основного вируса. Упрощенная версия предназначена для атак на малый и средний бизнес, что расширяет круг потенциальных покупателей и увеличивает риск для компаний с неустойчивой системой киберзащиты.
В объявлении говорится о продаже исходного кода "Knight 3.0", включая код панели управления и самого шифровальщика, написанного на языке Glong C++. Новая версия вируса, выпущенная 5 ноября 2023 года, отличается на 40% более высокой скоростью шифрования, обновленным модулем для поддержки новейших версий гипервизора ESXi и другими улучшениями.
Продавец не указал конкретную цену, но подчеркнул, что код будет продан единственному покупателю, чтобы сохранить его эксклюзивность. Cyclops рассмотрит предложения от доверенных покупателей, готовых внести предоплату, и уточняет, что сделка будет осуществлена через надежного посредника на форумах RAMP или XSS. Для связи с потенциальными покупателями были указаны контакты в мессенджерах Jabber и TOX.
Специалисты KELA, комментируя ситуацию, отметили, что новый адрес в Jabber не вызывает подозрений, а идентификатор TOX уже был связан с деятельностью Knight, что придает предложению дополнительную легитимность.
Хотя причины продажи исходного кода остаются неясными, аналитики из KELA отмечают, что участники Knight не проявляли никакой активности на киберфорумах начиная с декабря 2023 года. Их сайт утечек в настоящий момент не функционирует. Можно предположить, что хакеры вовсе решили выйти из игры и распродать последние активы, пишет Securitylab.
