Código fonte do ransomware Knight está à venda após site de vazamento ser fechado
21 de Fevereiro de 2024

A suposta fonte do código para a terceira iteração do ransomware Knight está sendo oferecida para venda a um único comprador em um fórum de hackers por um representante da operação.

O ransomware Knight foi lançado no final de julho de 2023 como uma recriação da operação Ciclope, visando sistemas Windows, macOS e Linux/ESXi.

Ele ganhou alguma atração porque fornecia info-stealers e uma versão 'lite' do seu encriptador para afiliados de nível inferior que atacavam organizações menores.

Analistas de ameaças na empresa de inteligência em cibersegurança KELA identificaram o anúncio dois dias atrás postado nos fóruns da RAMP por alguém usando o apelido Ciclope, conhecido como um representante do grupo de ransomware Knight.

"Vendendo o código-fonte para o ransomware Knight 3.0, isso incluirá o código-fonte do painel e do locker, todo o código-fonte é de propriedade e escrito em Glong C ++", diz Ciclope na postagem.

A versão 3.0 do locker do Knight foi lançada em 5 de novembro de 2023, com criptografia 40% mais rápida, um módulo ESXi reescrito para suportar versões mais recentes do hipervisor, e várias outras melhorias.

O ator da ameaça não especificou um preço, mas enfatizou que o código-fonte apenas seria vendido a um único comprador, preservando seu valor como uma ferramenta privada.

Ciclope disse que priorizaria usuários de confiança com um depósito e que a compra seria feita através de um garantidor de transações no fórum de hackers RAMP ou XSS.

O vendedor postou endereços de contato para os serviços de mensagens Jabber e TOX para que compradores em potencial possam entrar em contato e negociar um acordo final.

A KELA informou ao BleepingComputer que o Jabber é novo, mas o ID do TOX listado na postagem do fórum é conhecido e foi anteriormente associado ao Knight, o que agrega legitimidade à venda.

A razão por trás da venda do código-fonte para o ransomware Knight permanece incerta, mas as ferramentas de monitoramento da dark web da KELA registram nenhuma atividade dos representantes de Knight em vários fóruns desde dezembro de 2023.

Além disso, o portal de extorsão de vítimas da operação de ransomware está atualmente offline, a última vítima sendo listada em 8 de fevereiro.

Desde julho de 2023, Knight afirmou ter violado 50 organizações.

Baseado nos detalhes da KELA, a operação de ransomware Knight parece ter sido inativa por um tempo agora, então é possível que o grupo esteja procurando fechar o negócio e vender seus ativos.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...