A suposta fonte do código para a terceira iteração do ransomware Knight está sendo oferecida para venda a um único comprador em um fórum de hackers por um representante da operação.
O ransomware Knight foi lançado no final de julho de 2023 como uma recriação da operação Ciclope, visando sistemas Windows, macOS e Linux/ESXi.
Ele ganhou alguma atração porque fornecia info-stealers e uma versão 'lite' do seu encriptador para afiliados de nível inferior que atacavam organizações menores.
Analistas de ameaças na empresa de inteligência em cibersegurança KELA identificaram o anúncio dois dias atrás postado nos fóruns da RAMP por alguém usando o apelido Ciclope, conhecido como um representante do grupo de ransomware Knight.
"Vendendo o código-fonte para o ransomware Knight 3.0, isso incluirá o código-fonte do painel e do locker, todo o código-fonte é de propriedade e escrito em Glong C ++", diz Ciclope na postagem.
A versão 3.0 do locker do Knight foi lançada em 5 de novembro de 2023, com criptografia 40% mais rápida, um módulo ESXi reescrito para suportar versões mais recentes do hipervisor, e várias outras melhorias.
O ator da ameaça não especificou um preço, mas enfatizou que o código-fonte apenas seria vendido a um único comprador, preservando seu valor como uma ferramenta privada.
Ciclope disse que priorizaria usuários de confiança com um depósito e que a compra seria feita através de um garantidor de transações no fórum de hackers RAMP ou XSS.
O vendedor postou endereços de contato para os serviços de mensagens Jabber e TOX para que compradores em potencial possam entrar em contato e negociar um acordo final.
A KELA informou ao BleepingComputer que o Jabber é novo, mas o ID do TOX listado na postagem do fórum é conhecido e foi anteriormente associado ao Knight, o que agrega legitimidade à venda.
A razão por trás da venda do código-fonte para o ransomware Knight permanece incerta, mas as ferramentas de monitoramento da dark web da KELA registram nenhuma atividade dos representantes de Knight em vários fóruns desde dezembro de 2023.
Além disso, o portal de extorsão de vítimas da operação de ransomware está atualmente offline, a última vítima sendo listada em 8 de fevereiro.
Desde julho de 2023, Knight afirmou ter violado 50 organizações.
Baseado nos detalhes da KELA, a operação de ransomware Knight parece ter sido inativa por um tempo agora, então é possível que o grupo esteja procurando fechar o negócio e vender seus ativos.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...