Il ransomware Knight distribuito in Italia con una falsa fattura

da | Ott 6, 2023 | News, Report CERT, Sicurezza Informatica

Il ransonmware Knight distribuito in Italia con una falsa fattura

Il ransomware Knight è sbarcato in Italia. Distribuito tramite falsa fattura, infetta Windows, Linux (compreso ESXi) e MacOS.

Da Cyclops a Knight: breve cronistoria del nuovo ransomware

Il ransomware Knight è una rebrandizzazione, piuttosto recente, del RaaS Cyclop. Cyclop ha “iniziato” la sua carriera nel Maggio 2023, quando i suoi operatori hanno iniziato il reclutamento degli affiliati sul forum di hacking RAMP. Fin da subito questa operazione ransomware ha utilizzato encryptor per Windows, macOS e Linux/ESXi. Inoltre gli operatori di Cyclops hanno messo a disposizione degli affiliati malware per il furto dati da sistemi Windows e Linux. E questa non è affatto una pratica comune nel mondo dei RaaS.

Oltre ai normali encryptor, Cyclops offre una versione lite per la distribuzione massiva via email, tornando un pò al vecchio approccio del mondo ransomware che “colpiva nel mucchio” più che preparare complessi attacchi mirati.

Alla fine di Luglio 2023 ecco il rebranding: Cyclops diventa Knight. Gli operatori hanno aggiornato la versione lite dell’encryptor per supportare la distribuzione batch e hanno lanciato un nuovo leak site.

Il ransomware Knight è un RaaS

Gli operatori di Knight hanno organizzato le operazioni del ransomware secondo il modello del RaaS. Non c’è, va detto, un programma di affiliazione: l’encyrptor può essere acquistato da chiunque ed è pronto all’uso. In ogni caso il modulo destinato alal criptazione dei dati è venduto in forma separata da quello destinato al furto dati, il cosiddetto info-stealer.

Una delle peculiarità di Knight è quella della diffusione via email, un metodo che non si vedeva da un pò. I gruppi ransomware più strutturati, spiega il CERT in questo dettagliato approfondimento, sono soliti utilizzare risorse specifiche per le prime fasi di infezione oppure comprano direttamente gli accessi dai cosiddetti Initial Acces Broker. Il ransomware Knight invece torna al passato: la distribuzione massiva via email.

Questo fa pensare che gli operatori di Knight abbiano concepito un’operazione ransomware per soggetti con scarse capacità tecniche.

Ricevere un ransomware per e-mail è quindi piuttosto insolito: il gruppo Knight però non ha IAB o risorse per ottenere un accesso iniziale ed il suo modello d’impresa si basa sul ricevere delle commissioni sull’operato di altri criminali che comprano e veicolano il loro ransomware come meglio desiderano. È quindi ipotizzabile che attori opportunistici, senza grandi capacità tecniche, tentino la fortuna inviando Knight a quanti più account e-mail possibili.

si legge nel report del CERT.

Qualche dettaglio tecnico: la distribuzione in Italia

Come detto, gli esperti del CERT hanno individuato campagne mirate conto utenti italiani per la distribuzione del ransomware Knight. Hanno quindi proceduto a pubblicare un alert pubblico con l’analisi tecnica di questa campagna.

foto

Quella sopra è la mail iniziale della campagna di distribuzione di Knight in Italia. L’email risulta inviata da un account appartenente ad una società italiana, avente a oggetto “cambio di conto bancario fraudolento”, oppure “Richiesta di supporto“. Il corpo email è invece identico per entrambi i modelli così come l’allegato, denominato “fatture__allegato.html“.

Ransomware Knight: l'email iniziale
Fonte: https://cert-agid.gov.it

All’apertura dell’allegato, ci troviamo di fronte allo schema classico: si apre un documento Word (in realtà un’immagine sbiadita), con un popup Outlook che invita a scaricare ed aprire il documento

Ransomware Knight: la falsa schermata Outlook
Fonte: https://cert-agid.gov.it

Viene quindi scaricato un file ZIP denominato “Fatture-Urgenti-e-Richiesta-Pagamento.zip”. Questo contiene, a sua volta, 5 file con doppia estensione: 2 XLL e 3 LNK

Ransomware Knight: i 5 file a doppia estensione contenuti nell'archivio ZIP
Fonte: https://cert-agid.gov.it

La doppia estensione è una classica tecnica truffaldina di attacco: l’utente che utilizza Windows (che di default nasconde l’estensione dei file alla visualizzazione) penserà di aver scaricato allegai XLSX o DOCX.

Basterà quindi che la vittima apra uno dei 5 file per avviare la catena di infezioni, che è organizzata a stadi. Al termine della criptazione, il ransomware rinominerà i file con l’estensione .kngiht_l. La nota di riscatto comparirà in ogni cartella contenente file criptati. Denominata How To Restore Your Files.txt

Ransomware Knight: la nota di riscatto
Fonte: https://cert-agid.gov.it

La nota di riscatto contiene un URL alla rete Tor: questo conduce ad una pagina che mostra alle l’ammontare del riscatto, i dettagli delle transazioni e un indirizzo email di contatto

Sotto, è disponibile un form

Ransomware Knight: form e test del decryptor
Fonte: https://cert-agid.gov.it

Qui l’utente può fornire l’ID della transazione e può testare l’efficacia del decryptor: gli attaccanti consentono infatti di effettuare la decriptazione di un file che non ecceda il MB di dimensioni.


Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

  • Predisponi un piano di backup:
    è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
  • Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
    le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
  • Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
    sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
  • Adotta l’approccio zero trust:
    applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
    Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
  • Evita di scaricare file o cliccare su link contenuti nelle email:
    spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
    Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
  • Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
    come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
  • Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
  • Implementa un modello di sicurezza stratificato (multi livello)
    nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
    > sicurezza delle reti e dei server;
    > gestione degli endpoint;
    > gestione dei dispositivi mobile.
    Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
  • Implementa sistemi di protezione preventiva:
    come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
  • Adotta un SOC – Security Operation Center:
    un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
    Per approfondire > SOC – Security Operation Center: che cosa, perché, come

POTREBBE ANCHE PIACERTI: