Ini adalah tahun baru, dan dengan itu datang ransomware baru untuk mengawasi disebut ‘Night Sky’ yang menargetkan jaringan perusahaan dan mencuri data dalam serangan pemerasan ganda.
Menurut MalwareHunterteam, yang pertama kali melihat ransomware baru, operasi Night Sky dimulai pada 27 Desember dan sejak itu menerbitkan data dua korban.
Salah satu korban telah menerima permintaan tebusan awal sebesar $ 800.000 untuk mendapatkan decryptor dan untuk data yang dicuri yang tidak dipublikasikan.
Bagaimana Night Sky mengenkripsi perangkat
Sampel ransomware Night Sky yang dilihat oleh BleepingComputer disesuaikan untuk berisi catatan tebusan yang dipersonalisasi dan kredensial login hardcoded untuk mengakses halaman negosiasi korban.
Ketika diluncurkan, ransomware akan mengenkripsi semua file kecuali yang diakhiri dengan ekstensi file .dll atau .exe. Ransomware juga tidak akan mengenkripsi file atau folder dalam daftar di bawah ini:
- AppData
- Boot
- Windows
- Windows.old
- Tor Browser
- Internet Explorer
- Opera
- Opera Software
- Mozilla
- Mozilla Firefox
- $Recycle.Bin
- ProgramData
- All Users
- autorun.inf
- boot.ini
- bootfont.bin
- bootsect.bak
- bootmgr
- bootmgr.efi
- bootmgfw.efi
- desktop.ini
- iconcache.db
- ntldr
- ntuser.dat
- ntuser.dat.log
- ntuser.ini
- thumbs.db
- Program Files
- Program Files (x86)
- #recycle
Saat mengenkripsi file, Night Sky akan menambahkan ekstensi .nightsky ke nama file terenkripsi, seperti yang ditunjukkan pada gambar di bawah ini.
Di setiap folder, catatan tebusan bernama NightSkyReadMe.hta berisi informasi yang terkait dengan apa yang dicuri, email kontak, dan kredensial berkode keras di halaman negosiasi korban.
Alih-alih menggunakan situs Tor untuk berkomunikasi dengan korban, Night Sky menggunakan alamat email dan situs web yang jelas yang menjalankan Rocket.Chat. Kredensial digunakan untuk masuk ke URL Rocket.Chat yang disediakan dalam catatan tebusan.
Taktik pemerasan ganda
Taktik umum yang digunakan oleh operasi ransomware adalah mencuri data yang tidak terenkripsi dari korban sebelum mengenkripsi perangkat di jaringan.
Para pelaku ancaman kemudian menggunakan data curian ini dalam strategi “pemerasan ganda”, di mana mereka mengancam akan membocorkan data jika uang tebusan tidak dibayar.
Untuk membocorkan data korban, Night Sky telah membuat situs kebocoran data Tor yang saat ini mencakup dua korban, satu dari Bangladesh dan satu lagi dari Jepang.
Meskipun belum ada banyak aktivitas dengan operasi ransomware Night Sky yang baru, itu adalah salah satu yang perlu kita awasi saat kita menuju tahun baru.
Sumber: Bleepingcomputer
