2022年是新的一年,隨之而來的是另一種新型勒索軟體,資安研究員MalwareHunterteam警告稱,發現一種名為“Night Sky”的新型勒索軟體在攻擊企業時使用雙重勒索手法,加密檔案後,勒索軟體會加上 ‘ . nightsky ‘的副檔名。
據MalwareHunterteam稱,Night Sky勒索軟體的攻擊行動於 12 月 27 日開始,已經分別入侵了孟加拉的”AKIJ Group”和日本的”東京コンピュータサービス(東京計算機服務株式會社)”的企業網路,Night Sky 跟其他勒索軟體無異,同樣在Tor 網路上建立了一個揭秘網站,在那裡將發布不付贖金的受害者的被盜數據。1月4日,東京計算機服務株式會社在其官網發佈新聞稿公開被勒索軟體攻擊的事件,據了解,該公司在2021 年 12 月 31被入侵,發現後,已斷開連接到公司網路的電腦和伺服器,也證實客戶資料可能已在攻擊事件中被盜。
據 BleepingComputer 稱,Night Sky要求其中一名受害者支付 80 萬美元贖金以恢復加密數據。研究人員注意到,Night Sky 勒索軟體不會加密 .dll 或 .exe 檔案,也不會針對以下檔案或檔案夾:
AppData
Boot
Windows
Windows.old
Tor Browser
Internet Explorer
Opera
Opera Software
Mozilla
Mozilla Firefox
$Recycle.Bin
ProgramData
All Users
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr.efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
Program Files
Program Files (x86)
#recycle
勒索軟體會在每個檔案夾中放置一個名為NightSkyReadMe.hta的勒索信,該檔案包括聯繫的電子郵件、受害者協商頁面寫死的憑證以及登錄 Rocket.Chat 以聯繫操作員的憑證。
Night Sky沒有使用 Tor 站點與受害者交流,而是使用電子郵件地址和運行表層網路 Rocket.Chat 的網站,憑證用於登錄勒索信中提供的 Rocket.Chat 網址。
雖然目前Night Sky沒有很多攻擊活動,但相信它是值得我們在2022年關注的勒索軟體。