Un representante de la operación está ofreciendo a la venta el supuesto código fuente de la tercera versión del ransomware Knight a un solo comprador en un foro de piratas informáticos.
Knight ransomware se lanzó a finales de julio de 2023 como un cambio de marca de la operación Cyclops, dirigido a sistemas Windows, macOS y Linux/ESXi.
Ganó algo de fuerza porque proporcionó ladrones de información y una versión “ligera” de su cifrado para afiliados de nivel inferior que atacaban a organizaciones más pequeñas.
Los analistas de amenazas de la firma de ciberinteligencia KELA detectaron el anuncio publicado hace dos días en los foros de RAMP por alguien que usaba el alias Cyclops, conocido como representante de la banda de ransomware Knight.
“La venta del código fuente del ransomware Knight 3.0 incluirá el código fuente del panel y el casillero; todo el código fuente pertenece y está escrito en Glong C++”, dice Cyclops en la publicación.
La versión 3.0 del casillero de Knight se lanzó el 5 de noviembre de 2023, con un cifrado un 40% más rápido, un módulo ESXi reescrito para agregar soporte para versiones más recientes del hipervisor y varias otras mejoras.
El actor de la amenaza no especificó un precio, pero enfatizó que el código fuente solo se vendería a un único comprador, preservando su valor como herramienta privada.
Cyclops dijo que darían prioridad a los usuarios acreditados con un depósito y que la compra se realizaría a través de un garante de transacciones en RAMP o en el foro de hackers XSS.
El vendedor ha publicado direcciones de contacto de los servicios de mensajería Jabber y TOX para que los compradores potenciales se comuniquen y negocien un acuerdo final.
KELA declaró que Jabber es nuevo, pero que el ID de TOX que figura en la publicación del foro es conocido y estuvo previamente asociado con Knight, lo que agrega legitimidad a la venta.
El motivo detrás de la venta del código fuente del ransomware Knight aún no está claro, pero las herramientas de monitoreo de la web oscura de KELA no han registrado actividades de los representantes de Knight en varios foros desde diciembre de 2023.
Además, el portal de extorsión a víctimas de la operación de ransomware está actualmente fuera de línea; la última víctima figura en la lista el 8 de febrero. Desde julio de 2023, Knight afirmó haber violado 50 organizaciones.
Según los detalles de KELA, la operación de ransomware Knight parece haber estado inactiva desde hace un tiempo, por lo que es posible que el grupo esté buscando cerrar sus negocios y vender sus activos.
Relacionado
5 Pasos para Mejorar la Seguridad en Microsoft Teams
En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware
Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!
ClamAV: El antivirus de código abierto para detectar troyanos, virus, malware, etc
ClamAV es un motor antivirus de código abierto para detectar troyanos, virus, malware y otras amenazas maliciosas. ClamAV es un código abierto (GPL) motor anti-virus utilizado en una variedad de situaciones, incluyendo análisis de correo electrónico, la exploración web, y la seguridad de punto final. ClamAV proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y ¡SEGUIR LEYENDO!
Anuncios de Facebook Impulsa el Nuevo Malware de Robo de Contraseñas Ov3r_Stealer
Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas. Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub. Los ¡SEGUIR LEYENDO!
Aplicaciones de Android Plagadas de Malware detectadas en Google Play
Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023. Descubrimiento del malware El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones ¡SEGUIR LEYENDO!
