Le code source présumé de la troisième itération du ransomware Knight est proposé à la vente à un seul acheteur sur un forum de pirates informatiques par un représentant de l’opération.
Le ransomware Knight a été lancé fin juillet 2023 en tant que changement de marque de l’opération Cyclope, ciblant les systèmes Windows, macOS et Linux/ESXi.
Il a gagné du terrain car il a fourni des voleurs d’informations et une version « allégée » de son cryptographe pour les affiliés de niveau inférieur qui attaquaient les petites organisations.
Les analystes des menaces de la société de cyber-renseignement KELA ont repéré il y a deux jours la publicité publiée sur les forums RAMP par quelqu’un utilisant le pseudonyme Cyclope, connu comme un représentant du gang de ransomwares Knight.
« Vendre le code source du ransomware Knight 3.0, cela inclura le code source du panneau et du casier, tout le code source est détenu et écrit en Glong C++”, explique Cyclope dans le post.
La version 3.0 de Knight’s locker est sortie le 5 novembre 2023, avec un cryptage 40% plus rapide, un module ESXi réécrit pour ajouter la prise en charge des versions plus récentes de l’hyperviseur et diverses autres améliorations.
L’auteur de la menace n’a pas précisé de prix, mais a souligné que le code source ne serait vendu qu’à un seul acheteur, préservant ainsi sa valeur en tant qu’outil privé.
Cyclope a déclaré qu’ils donneraient la priorité aux utilisateurs de bonne réputation avec un dépôt et que l’achat serait effectué par l’intermédiaire d’un garant de transaction sur RAMP ou sur le forum des pirates XSS.
Le vendeur a publié des adresses de contact pour les services de messagerie Jabber et TOX pour que les acheteurs potentiels puissent tendre la main et négocier un accord final.
KELA a déclaré à Breachtrace que le Jabber est nouveau mais que l’identifiant TOX répertorié sur le message du forum est connu et précédemment associé à Knight, ce qui ajoute de la légitimité à la vente.
La raison de la vente du code source du ransomware Knight reste incertaine, mais les outils de surveillance du Dark Web de KELA n’ont enregistré aucune activité des représentants de Knight sur divers forums depuis décembre 2023.
De plus, le portail d’extorsion de victimes de l’opération de ransomware est actuellement hors ligne, la dernière victime ayant été répertoriée le 8 février. Depuis juillet 2023, Knight a affirmé avoir violé 50 organisations.
D’après les détails de KELA, l’opération de ransomware Knight semble être inactive depuis un certain temps maintenant, il est donc possible que le groupe cherche à fermer boutique et vendre ses actifs.