CERT-AGID, nel corso delle sue attività di monitoraggio, ha identificato una campagna malspam italiana che mira a compromettere le postazioni di lavoro attraverso il ransomware “Knight”.
Dettagli sulla campagna malspam
Il messaggio di posta elettronica sembra essere inviato da un account email di una società italiana e ha come oggetto: “cambio di conto bancario fraudolento” o “Richiesta di supporto”. Nel corpo del messaggio, si invita il destinatario a visualizzare un documento allegato chiamato “fatture_<dominio-email>_allegato.html”.
Quando si apre l’allegato, viene mostrata un’immagine sfocata di un documento Word con un popup di Outlook che invita a scaricare ed aprire il documento. In realtà, ciò che viene scaricato è un file .ZIP chiamato “Fatture-Urgenti-e-Richiesta-Pagamento.zip”, che contiene 5 file con doppia estensione: 2 XLL e 3 LNK. Se un utente apre uno di questi file su un sistema Windows, inizierà la catena di infezione che culminerà con l’esecuzione del ransomware Knight, cifrando i file e rinominandoli con l’estensione .knight_l.
Tecniche utilizzate e richiesta di riscatto
La tecnica utilizzata per scaricare l’eseguibile, nel caso dei file XLL, è stata precedentemente descritta da Lawrence Abrams su Bleeping Computer. Per gli LNK, viene utilizzato powershell e il processo explorer.
La nota di riscatto fornisce un URL alla rete TOR che porta a una pagina in cui si chiede di fornire i dettagli della transazione, che ammonta a $18991 in Bitcoin, a un indirizzo email specificato. Successivamente, si dovrebbe attendere una risposta.
Si sa che “Knight” è un rebranding di “Cyclops” e che è stato osservato online a metà agosto del 2023. Il CERT-AGID ha rilevato una campagna che ha preso di mira l’Italia il 30 agosto, rappresentando la prima campagna ransomware dal 2017, con l’eccezione di Qakbot. L’invio di ransomware tramite email suggerisce attori opportunistici, ma se questa tendenza dovesse continuare, potrebbe complicare significativamente il panorama della sicurezza in Italia. La home page di “Knight” non mostra attualmente vittime, ma contiene un link che indica che il gruppo è alla ricerca di nuovi partner.