Código fonte do ransomware Knight está à venda após site de vazamento ser fechado
21 de Fevereiro de 2024

A suposta fonte do código para a terceira iteração do ransomware Knight está sendo oferecida para venda a um único comprador em um fórum de hackers por um representante da operação.

O ransomware Knight foi lançado no final de julho de 2023 como uma recriação da operação Ciclope, visando sistemas Windows, macOS e Linux/ESXi.

Ele ganhou alguma atração porque fornecia info-stealers e uma versão 'lite' do seu encriptador para afiliados de nível inferior que atacavam organizações menores.

Analistas de ameaças na empresa de inteligência em cibersegurança KELA identificaram o anúncio dois dias atrás postado nos fóruns da RAMP por alguém usando o apelido Ciclope, conhecido como um representante do grupo de ransomware Knight.

"Vendendo o código-fonte para o ransomware Knight 3.0, isso incluirá o código-fonte do painel e do locker, todo o código-fonte é de propriedade e escrito em Glong C ++", diz Ciclope na postagem.

A versão 3.0 do locker do Knight foi lançada em 5 de novembro de 2023, com criptografia 40% mais rápida, um módulo ESXi reescrito para suportar versões mais recentes do hipervisor, e várias outras melhorias.

O ator da ameaça não especificou um preço, mas enfatizou que o código-fonte apenas seria vendido a um único comprador, preservando seu valor como uma ferramenta privada.

Ciclope disse que priorizaria usuários de confiança com um depósito e que a compra seria feita através de um garantidor de transações no fórum de hackers RAMP ou XSS.

O vendedor postou endereços de contato para os serviços de mensagens Jabber e TOX para que compradores em potencial possam entrar em contato e negociar um acordo final.

A KELA informou ao BleepingComputer que o Jabber é novo, mas o ID do TOX listado na postagem do fórum é conhecido e foi anteriormente associado ao Knight, o que agrega legitimidade à venda.

A razão por trás da venda do código-fonte para o ransomware Knight permanece incerta, mas as ferramentas de monitoramento da dark web da KELA registram nenhuma atividade dos representantes de Knight em vários fóruns desde dezembro de 2023.

Além disso, o portal de extorsão de vítimas da operação de ransomware está atualmente offline, a última vítima sendo listada em 8 de fevereiro.

Desde julho de 2023, Knight afirmou ter violado 50 organizações.

Baseado nos detalhes da KELA, a operação de ransomware Knight parece ter sido inativa por um tempo agora, então é possível que o grupo esteja procurando fechar o negócio e vender seus ativos.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...