Un representante de la operación está ofreciendo a la venta el supuesto código fuente de la tercera versión del ransomware Knight a un solo comprador en un foro de piratas informáticos.
Knight ransomware se lanzó a finales de julio de 2023 como un cambio de marca de la operación Cyclops, dirigido a sistemas Windows, macOS y Linux/ESXi.
Ganó algo de fuerza porque proporcionó ladrones de información y una versión “ligera” de su cifrado para afiliados de nivel inferior que atacaban a organizaciones más pequeñas.
Los analistas de amenazas de la firma de ciberinteligencia KELA detectaron el anuncio publicado hace dos días en los foros de RAMP por alguien que usaba el alias Cyclops, conocido como representante de la banda de ransomware Knight.
“La venta del código fuente del ransomware Knight 3.0 incluirá el código fuente del panel y el casillero; todo el código fuente pertenece y está escrito en Glong C++”, dice Cyclops en la publicación.
La versión 3.0 del casillero de Knight se lanzó el 5 de noviembre de 2023, con un cifrado un 40% más rápido, un módulo ESXi reescrito para agregar soporte para versiones más recientes del hipervisor y varias otras mejoras.
El actor de la amenaza no especificó un precio, pero enfatizó que el código fuente solo se vendería a un único comprador, preservando su valor como herramienta privada.
Cyclops dijo que darían prioridad a los usuarios acreditados con un depósito y que la compra se realizaría a través de un garante de transacciones en RAMP o en el foro de hackers XSS.
El vendedor ha publicado direcciones de contacto de los servicios de mensajería Jabber y TOX para que los compradores potenciales se comuniquen y negocien un acuerdo final.
KELA declaró que Jabber es nuevo, pero que el ID de TOX que figura en la publicación del foro es conocido y estuvo previamente asociado con Knight, lo que agrega legitimidad a la venta.
El motivo detrás de la venta del código fuente del ransomware Knight aún no está claro, pero las herramientas de monitoreo de la web oscura de KELA no han registrado actividades de los representantes de Knight en varios foros desde diciembre de 2023.
Además, el portal de extorsión a víctimas de la operación de ransomware está actualmente fuera de línea; la última víctima figura en la lista el 8 de febrero. Desde julio de 2023, Knight afirmó haber violado 50 organizaciones.
Según los detalles de KELA, la operación de ransomware Knight parece haber estado inactiva desde hace un tiempo, por lo que es posible que el grupo esté buscando cerrar sus negocios y vender sus activos.