Ransomware “Knight” distribuito in Italia tramite false fatture

da Redazione
0 commenti 2 minuti leggi

CERT-AGID, nel corso delle sue attività di monitoraggio, ha identificato una campagna malspam italiana che mira a compromettere le postazioni di lavoro attraverso il ransomware “Knight”.

image 9
Ransomware "Knight" distribuito in Italia tramite false fatture 11

Dettagli sulla campagna malspam

Il messaggio di posta elettronica sembra essere inviato da un account email di una società italiana e ha come oggetto: “cambio di conto bancario fraudolento” o “Richiesta di supporto”. Nel corpo del messaggio, si invita il destinatario a visualizzare un documento allegato chiamato “fatture_<dominio-email>_allegato.html”.

image 6 1
Ransomware "Knight" distribuito in Italia tramite false fatture 12

Quando si apre l’allegato, viene mostrata un’immagine sfocata di un documento Word con un popup di Outlook che invita a scaricare ed aprire il documento. In realtà, ciò che viene scaricato è un file .ZIP chiamato “Fatture-Urgenti-e-Richiesta-Pagamento.zip”, che contiene 5 file con doppia estensione: 2 XLL e 3 LNK. Se un utente apre uno di questi file su un sistema Windows, inizierà la catena di infezione che culminerà con l’esecuzione del ransomware Knight, cifrando i file e rinominandoli con l’estensione .knight_l.

Annunci

zip knight

Tecniche utilizzate e richiesta di riscatto

La tecnica utilizzata per scaricare l’eseguibile, nel caso dei file XLL, è stata precedentemente descritta da Lawrence Abrams su Bleeping Computer. Per gli LNK, viene utilizzato powershell e il processo explorer.

image 7
Ransomware "Knight" distribuito in Italia tramite false fatture 13

La nota di riscatto fornisce un URL alla rete TOR che porta a una pagina in cui si chiede di fornire i dettagli della transazione, che ammonta a $18991 in Bitcoin, a un indirizzo email specificato. Successivamente, si dovrebbe attendere una risposta.

image 8
Ransomware "Knight" distribuito in Italia tramite false fatture 14

Si sa che “Knight” è un rebranding di “Cyclops” e che è stato osservato online a metà agosto del 2023. Il CERT-AGID ha rilevato una campagna che ha preso di mira l’Italia il 30 agosto, rappresentando la prima campagna ransomware dal 2017, con l’eccezione di Qakbot. L’invio di ransomware tramite email suggerisce attori opportunistici, ma se questa tendenza dovesse continuare, potrebbe complicare significativamente il panorama della sicurezza in Italia. La home page di “Knight” non mostra attualmente vittime, ma contiene un link che indica che il gruppo è alla ricerca di nuovi partner.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara