Knight fidye yazılımının üçüncü versiyonuna ait olduğu iddia edilen kaynak kodu, operasyonun bir temsilcisi tarafından bir hacker forumunda tek bir alıcıya satışa sunuluyor.
Knight fidye yazılımı, Temmuz 2023’ün sonunda Cyclops operasyonunun yeniden markası olarak Windows, macOS ve Linux/ESXi sistemlerini hedef alarak piyasaya sürüldü.
Daha küçük kuruluşlara saldıran alt düzey bağlı kuruluşlar için bilgi hırsızları ve şifreleyicisinin ‘hafif’ bir versiyonunu sağladığı için bir miktar ilgi kazandı.
Siber istihbarat firması KELA’daki tehdit analistleri, iki gün önce Knight fidye yazılımı çetesinin temsilcisi olarak bilinen Cyclops takma adını kullanan birinin RAMP forumlarında yayınlanan reklamı fark etti.
Cyclops, gönderisinde “Knight 3.0 fidye yazılımının kaynak kodunu satıyoruz; bu, panelin ve dolabın kaynak kodunu içerecek; tüm kaynak kodu Glong C++’a ait ve Glong C++ ile yazılmış” diyor.
Knight’s locker’ın 3.0 sürümü, %40 daha hızlı şifreleme, hipervizörün daha yeni sürümleri için destek eklemek için yeniden yazılmış bir ESXi modülü ve diğer çeşitli iyileştirmelerle 5 Kasım 2023’te yayınlandı.
Tehdit aktörü bir fiyat belirtmedi ancak kaynak kodunun yalnızca tek bir alıcıya satılacağını ve özel bir araç olarak değerinin korunacağını vurguladı.
Cyclops, depozitoyla saygın kullanıcılara öncelik vereceklerini ve satın alma işleminin RAMP veya XSS hacker forumundaki bir işlem garantörü aracılığıyla gerçekleştirileceğini söyledi.
Satıcı, potansiyel alıcılara ulaşıp nihai bir anlaşma için pazarlık yapmaları amacıyla Jabber ve TOX mesajlaşma hizmetlerinin iletişim adreslerini yayınladı.
KELA, BleepingComputer’a Jabber’ın yeni olduğunu ancak forum gönderisinde listelenen TOX ID’nin bilindiğini ve daha önce Knight ile ilişkilendirildiğini, bunun da satışa meşruiyet kazandırdığını söyledi.
Knight fidye yazılımının kaynak kodunu satmanın ardındaki neden belirsizliğini koruyor ancak KELA’nın karanlık web izleme araçları, Aralık 2023’ten bu yana Knight temsilcilerinin çeşitli forumlardaki hiçbir etkinliğini kaydetmedi.
Ayrıca fidye yazılımı operasyonunun kurban gasp portalı şu anda çevrimdışı ve son kurban 8 Şubat’ta listeleniyor. Knight, Temmuz 2023’ten bu yana 50 organizasyonun ihlal edildiğini iddia etti.
KELA’nın ayrıntılarına göre Knight fidye yazılımı operasyonu bir süredir aktif değil gibi görünüyor, dolayısıyla grubun dükkanı kapatıp varlıklarını satmayı düşünmesi mümkün.