Cyclops 랜섬웨어 작전은 2023년 5월에 처음 시작되었으며, 이는 랜섬웨어-서비스(RaaS)를 위한 recruiting을 개시한 시점이었습니다. 이 작전은 Windows, macOS, 그리고 Linux/ESXi를 암호화하는 작전으로 시작되었으며, 일반적으로 RaaS 작전에서 볼 수 없는 Windows 및 Linux의 정보를 훔치는 멀웨어를 제휴사에 제공하였습니다. 7월 말에 Cyclops는 Knight로 재명명되었으며, 'lite' 암호화 프로그램도 업데이트하여 배포하였습니다.
Knight 랜섬웨어는 근래에 TripAdvisor 불만 사항을 가장한 스팸 이메일로 전파되고 있습니다. 공격자들은 TripAdvisor의 불만 사항을 묘사한 이메일에 ZIP 파일을 첨부하여 사용자가 이를 열게 함으로써 Knight 랜섬웨어를 전파하는 것입니다.
Knight 랜섬웨어는 사용자의 파일을 암호화하는 과정에서 각 파일의 이름에 .knight_l 확장자를 추가하고, 그 결과 각 폴더에 'How To Restore Your Files.txt'라는 이름의 몸통 수요를 생성합니다. 아직까지는 Knight 공격을 통해 계정이 탈취된 피해자는 없으며, Knight 공격에 대한 몸값 지불은 하지 않는 것이 바람직합니다.
요약
- 2023년 5월에 처음 시작된 Cyclops 랜섬웨어 작전은 2023년 7월 말에 Knight로 재명명되었다.
- TripAdvisor 불만사항을 가장한 스팸 캠페인에 의해 Knight 랜섬웨어가 전파된다.
- Knight 랜섬웨어는 사용자의 파일을 암호화하고, 몸통 수요를 만들어냈다. 현재로서는 이 캠페인을 통해 계정이 탈취된 피해자는 없다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.