Un nuevo ransomware, apodado Night Sky, se enfoca en las redes corporativas y roba datos para extorsionar a los servidores VMware Horizon. El ransomware se llama Night Sky y comenzó a funcionar el 27 de diciembre de 2021.
El nuevo ransomware Night Sky
El ransomware fue descubierto por primera vez por MalwareHunterTeam cuando el primero publicó los datos de dos víctimas.
- El grupo tiene un sitio de filtración de datos Tor que muestra una víctima de Bangladesh y otra de Japón.
- Los atacantes exigieron a una de las víctimas un rescate de 800.000 dólares por el desencriptador y amenazaron con filtrar los datos robados si no se pagaba.
La parte operativa
Mientras se ejecuta, el ransomware encripta todos los archivos, excepto los que terminan en las extensiones de archivo .dll o .exe.
- El ransomware añade la extensión .nightsky a los nombres de los archivos cifrados. En cada carpeta, se deja caer una nota de rescate (NightSkyReadMe[.]hta) que contiene más información sobre el pago del rescate.
- El ransomware utiliza direcciones de correo electrónico y un sitio web limpio que ejecuta Rocket.Chat. Las credenciales requeridas para iniciar sesión en la URL de Rocket.Chat se dan dentro de la nota de rescate.
Una conexión china
Un grupo de amenazas con sede en China conocido como DEV-0401 ha estado utilizando el ransomware Night Sky. En su campaña, abusaron de la vulnerabilidad Log4Shell para obtener acceso a los sistemas VMware Horizon.
Conclusiones
Sin duda, los ataques de ransomware son una de las amenazas más frecuentes y peligrosas para las organizaciones de todo el mundo. Casi todos los meses se detectan nuevas familias de ransomware y variantes como Night Sky. Esto indica que el ransomware sigue siendo un negocio rentable para los ciberdelincuentes.
Fuente: https://cyware.com/news/new-night-sky-ransomware-enters-corporate-ransom-attack-scene-c41e7794