Il ransomware Knight, precedentemente noto come Cyclops, sta emergendo come una minaccia crescente attraverso una campagna di spam che simula e-mail di reclami di TripAdvisor. Questa tattica mira a ingannare gli utenti e a indurli a scaricare e attivare il ransomware.
Origini di Cyclops e Knight Ransomware
L’operazione ransomware Cyclops è stata lanciata nel maggio 2023, reclutando affiliati per il nuovo servizio ransomware-as-a-service (RaaS) sul forum di hacking RAMP. A fine luglio, Cyclops ha cambiato nome in Knight, introducendo anche nuove funzionalità e un sito di perdite di dati.
Dettagli della campagna spam di Knight
Questa settimana, il ricercatore di Sophos, Felix, ha individuato una nuova campagna di spam che simula reclami di TripAdvisor ma distribuisce invece il ransomware Knight. Le e-mail contengono allegati ZIP che, una volta aperti, avviano l’esecuzione del ransomware sul dispositivo dell’utente.
Tecniche di phishing utilizzate
Una versione più recente della campagna utilizza una tecnica di phishing chiamata “Browser-in-the-Browser” per simulare una finestra del browser che indirizza a TripAdvisor. Questa falsa finestra chiede all’utente di esaminare un reclamo. Tuttavia, cliccando sul pulsante “Leggi reclamo”, verrà scaricato un file Excel infetto.
Conseguenze dell’apertura del file infetto
Se l’utente decide di aprire il file Excel, il ransomware Knight Lite verrà iniettato nel processo explorer.exe e inizierà a cifrare i file sul computer. I file cifrati avranno l’estensione “.knight_l”, e verrà creata una nota di riscatto in ogni cartella del computer.
Avvertenze sul pagamento del riscatto
Tutte le note di riscatto osservate da Sophos utilizzano lo stesso indirizzo Bitcoin, rendendo impossibile per l’attore minaccioso determinare quale vittima ha pagato un riscatto. Di conseguenza, è fortemente sconsigliato pagare il riscatto in questa campagna, poiché esiste una buona probabilità che non si riceva un decryptor.