Исходный код третьей версии вымогателя Knight выставлен на продажу на хакерском форуме одним из представителей группировки, сообщают исследователи компании KELA.
Шифровальщик Knight появился в конце июля 2023 года и представлял собой ребрендинг Cyclops, нацеленного на системы под управлением Windows, macOS и Linux/ESXi. Малварь приобрела определенную популярность в хакерских кругах, так как клиентам группировки также предлагались инфостилеры и облеченная версия вымогателя для партнеров начального уровня, которые атаковали небольшие организации.
Аналитики KELA сообщили изданию Bleeping Computer, что обнаружили рекламу продажи исходников, размещенную на хак-форуме RAMP, два дня назад. Объявление разместил человеком под ником Cyclops, который известен как представитель группировки Knight.
«Продаю исходный код программы-вымогателя Knight 3.0, в комплект входит исходный код панели и локера, весь исходный код находится в собственности и написан на Glong C++», — пишет Cyclops.
Злоумышленник не указал цену, но подчеркнул, что исходный код будет продан только одному покупателю, что позволит сохранить ценность Knight как закрытого инструмента. Также Cyclops заявил, что отдаст предпочтение авторитетным пользователям с депозитом, а покупка будет осуществляться через гаранта либо на RAMP, либо на хак-форуме XSS.
Исследователи отмечают, что третья версия Knight появилась 5 ноября 2023 года и предлагала более быстрое шифрование (на 40% быстрее), переписанный модуль ESXi, поддержку последних версий гипервизора и ряд других улучшений.
Причина продажи исходников Knight пока неясна, но в KELA говорят, что их инструменты для мониторинга даркнета не фиксировали никакой активности со стороны участников Knight с декабря 2023 года. Кроме того, в настоящее время вымогательский сайт группировки не работает: последняя жертва была внесена в список пострадавших 8 февраля.
По данным KELA, шифровальщик Knight, похоже, уже давно неактивен, так что вполне возможно, что группа собирается окончательно закрыться и теперь распродает активы.