תוכנת כופר Knight פועלת בשם אחר
בדיקה בנושא של רשת כופר חדשה בשם RansomHub העלתה, כי מדובר בגרסה חדשה ומעודכנת של תוכנת הכופר נייט (Knight). התוכנה המקורית היא גם עדכון של תוכנה זדונית אחרת שהייתה ידועה בשם סייקלופס (Cyclops).
תוכנת נייט התגלתה לראשונה במאי 2023. היא מונחית על ידי טקטיקות הונאה כפולות בשביל לגנוב ולהצפין מידע רגיש של קורבנות לקבלת תמורה פיננסית. התוכנה פועלת במגוון פלטפורמות, בהן וינדוז (Windows), לינוקס (Linux), מק (MacOS) ואנדרואיד (Android). התוכנה הפסיקה לפעול בפברואר האחרון, כשקוד המקור שלה נמכר בפלטפורמות בדארקנט. כמובן שהועלה התרחיש האפשרי שנייט עברה לידיים אחרות ופועלת בשם אחר. השערות אלו התגלו לאחרונה כנכונות.
RansomHub, הגרסה החדשה של נייט, תקפה את הקורבן המקוון הראשון שלה כבר באותו חודש. התוכנה נקשרה למספר מתקפות סייבר ופלישות למערכות של חברות וגופים מדיניים, בהם חברת הבריאות וקופת החולים Change Healthcare, פלטפורמה למכירות פומביות כריסטיס (Christie’s) וחברת התקשורת Frontier Communications. התוקפים התחייבו לא לתקוף מקורות מידע וגופים ממדינות מסוימות: קובה, צפון קוריאה, סין ומדינות חבר העמים.
חברת אבטחת המידע סימנטק (Symantec) שהוציאה דוח רשמי המפרט את המבנה ושיטות הפעולה של RansomHub מסבירה, כי הדמיון בין שתי הגרסאות נראה גם בשיטות הקידוד ובאופן הפעולה מול מחשבים ומערכות שנפגעו. RansomHub מצפין הודעות כופר בקבצים פגועים. ההבדל המרכזי בין שתי התוכנות הוא אופן ההפעלה שלהם דרך סט הפקודות משורת ההפעלה הסטנדרטית.
RansomHub מוציאה את המתקפות שלה לפועל על ידי זיהוי נקודות תורפה במערכות ובשרשראות אבטחה. התוכנה מקבלת גישה למחשבים ומתקינה אפליקציות לניהול מרחוק. באמצעות האפליקציות היא מעבירה למחשב את תוכן הכופר. לפי סטטיסטיקה עדכנית, RansomHub הייתה אחראית ל-26 מתקפות ופריצות רק בחודש אפריל.
