В конце июля вымогательская операция Cyclops официально сменила название на Knight, а её авторы объявили об обновлении облегчённой версии для пакетного распространения. Также запущен новый сайт утечки данных, пишет Securitylab.
Один из исследователей компании Sophos уже обнаружил новую спам-кампанию, распространяющую фишинговые электронные письма Knight под видом жалоб пользователей сервиса TripAdvisor на конкретные заведения. В рассмотренном случае была жалоба на гостиницу.
Спам-письмо содержит ZIP-архив с HTML-страницей, замаскированной под PDF-документ. Она имитирует интерфейс сайта TripAdvisor и предлагает загрузить файл, чтобы ознакомиться с жалобой.
Клик по ссылке «Прочесть жалобу» приводит к скачиванию вредоносного XLL-файла, запуск которого через Microsoft Excel в купе с активацией надстройки .NET в программе приводит к активации шифровальщика.
Когда все данные на компьютере жертвы зашифрованы, она увидит в каждой папке компьютера записку с выкупом. Записка вводит пострадавшего в курс ситуации и предлагает перевести за разблокировку данных 5000 долларов на указанный биткоин-кошелёк.
Стратегия двойного вымогательства в этой операции не используется, поэтому переживать за публикацию своих данных на киберпреступных форумах не стоит.
Эксперты настоятельно рекомендуют воздержаться от выплаты выкупа в рамках этой конкретной кампании, даже если зашифрованы крайне важные данные, для которых не было создано резервных копий. Велика вероятность, что дешифратор партнёрами Knight предоставлен не будет.
Такие выводы специалисты по безопасности сделали из-за использования хакерами одного и того же криптовалютного кошелька для всех своих жертв, хотя в записке с выкупом и заявляется обратное. Так как транзакции анонимны, вымогатели даже при всём желании не смогут понять, какая конкретно жертва оплатила выкуп, а значит и возможности предоставить дешифратор у злоумышленников не будет.
Сделано ли это намеренно или по ошибке, такой подход явно не делает вымогателям Knight репутации.