A suposta fonte do código para a terceira iteração do ransomware Knight está sendo oferecida para venda a um único comprador em um fórum de hackers por um representante da operação.
O ransomware Knight foi lançado no final de julho de 2023 como uma recriação da operação Ciclope, visando sistemas Windows, macOS e Linux/ESXi.
Ele ganhou alguma atração porque fornecia info-stealers e uma versão 'lite' do seu encriptador para afiliados de nível inferior que atacavam organizações menores.
Analistas de ameaças na empresa de inteligência em cibersegurança KELA identificaram o anúncio dois dias atrás postado nos fóruns da RAMP por alguém usando o apelido Ciclope, conhecido como um representante do grupo de ransomware Knight.
"Vendendo o código-fonte para o ransomware Knight 3.0, isso incluirá o código-fonte do painel e do locker, todo o código-fonte é de propriedade e escrito em Glong C ++", diz Ciclope na postagem.
A versão 3.0 do locker do Knight foi lançada em 5 de novembro de 2023, com criptografia 40% mais rápida, um módulo ESXi reescrito para suportar versões mais recentes do hipervisor, e várias outras melhorias.
O ator da ameaça não especificou um preço, mas enfatizou que o código-fonte apenas seria vendido a um único comprador, preservando seu valor como uma ferramenta privada.
Ciclope disse que priorizaria usuários de confiança com um depósito e que a compra seria feita através de um garantidor de transações no fórum de hackers RAMP ou XSS.
O vendedor postou endereços de contato para os serviços de mensagens Jabber e TOX para que compradores em potencial possam entrar em contato e negociar um acordo final.
A KELA informou ao BleepingComputer que o Jabber é novo, mas o ID do TOX listado na postagem do fórum é conhecido e foi anteriormente associado ao Knight, o que agrega legitimidade à venda.
A razão por trás da venda do código-fonte para o ransomware Knight permanece incerta, mas as ferramentas de monitoramento da dark web da KELA registram nenhuma atividade dos representantes de Knight em vários fóruns desde dezembro de 2023.
Além disso, o portal de extorsão de vítimas da operação de ransomware está atualmente offline, a última vítima sendo listada em 8 de fevereiro.
Desde julho de 2023, Knight afirmou ter violado 50 organizações.
Baseado nos detalhes da KELA, a operação de ransomware Knight parece ter sido inativa por um tempo agora, então é possível que o grupo esteja procurando fechar o negócio e vender seus ativos.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...