Il codice sorgente della terza versione del ransomware Knight è in vendita su un forum di hacker da un rappresentante del gruppo. Il ransomware Knight, lanciato alla fine di luglio 2023 come rebrand dell’operazione Cyclops, ha preso di mira i sistemi Windows, macOS e Linux/ESXi. L’operazione ha guadagnato trazione fornendo info-stealer e una versione ‘lite’ del suo encryptor per affiliati di livello inferiore che attaccavano organizzazioni più piccole.
Il post di vendita, avvistato da analisti di minacce della società di cyber-intelligence KELA, è stato pubblicato su RAMP forums da un utente con l’alias Cyclops, noto rappresentante della gang di ransomware Knight. Il post specifica che la vendita includerà il codice sorgente del pannello e del locker, tutto scritto in Golang C++.
La versione 3.0 del locker di Knight, rilasciata il 5 novembre 2023, ha presentato un’encryptazione del 40% più veloce, un modulo ESXi riscritto per supportare versioni più recenti dell’hypervisor e vari altri miglioramenti. Non è stato specificato un prezzo, ma è stato sottolineato che il codice sorgente sarà venduto a un unico acquirente per preservarne il valore come strumento privato.
La ragione dietro la vendita del codice sorgente del ransomware Knight non è chiara, ma gli strumenti di monitoraggio del dark web di KELA non hanno registrato attività da parte dei rappresentanti di Knight su vari forum da dicembre 2023. Inoltre, il portale di estorsione delle vittime dell’operazione ransomware è attualmente offline, con l’ultima vittima elencata l’8 febbraio. Da luglio 2023, Knight ha affermato di aver violato 50 organizzazioni.
Basandosi sui dettagli forniti da KELA, sembra che l’operazione ransomware Knight sia inattiva da un po’ di tempo, quindi è possibile che il gruppo stia cercando di chiudere e vendere i propri asset.