
Ad inizio settembre il CERT-AgID aveva emesso un bollettino di sicurezza riguardo ad una campagna Knight ransomware che ha coinvolto l’Italia e definita insolita perché veicolata tramite messaggi di posta elettronica con allegata una falsa fattura (usualmente tali attacchi vengono veicolati tramite malware precursori). Come promesso, dopo aver descritto le prime fasi d’infezione riservandosi di fornire ulteriori dettagli di analisi in seguito, ora il CERT-AgID ha pubblicato il rapporto dettagliato sul funzionamento del ransomware. Ecco i punti salienti.
Il modello di business
Secondo gli esperti il modello di business non prevederebbe un programma di affiliazione come solitamente avviene per altri gruppi ransomware e il software è acquistabile e pronto all’uso come RaaS con i componenti per la cifratura e il furto dei file venduti separatamente.
Capacità del ransomware
Dall’analisi del campione analizzato dal CERT-AgID, il ransomware scritto in C++ sarebbe una nuova variante rinominata come “Cyclops 2.0″. Non ha capacità di esfiltrazione dati, non cifra file di sistema o di applicazioni fondamentali per il funzionamento dei sistemi, ma ha la capacità di trovare altre macchine in rete e di cifrare anche file condivisi. La crittografia usata anche se semplice nel complesso riesce in modo efficiente a cifrare file anche di grandi dimensioni (oltre 8TiB).
Allo scopo di evitare sistemi di rilevamento EDR il ransomware viene fornito con il packer IDAT Loader di recente emissione (Luglio 2023) che implementa diverse tecniche di evasione tra cui Process Doppelgänging, DLL Search Order Hijacking e Heaven’s Gate. IDAT Loader memorizza il payload nella porzione IDAT dei file immagine .PNG (fonte Malpedia). Un controllo sulla lingua della macchina della vittima tramite API consente inoltre al ransomware di bloccare la propria azione in caso di lingue appartenenti a paesi Arabi, Cinesi e del blocco CIS.
Presi di mira gli utenti domestici
Knight sarebbe in grado di infettare sistemi Windows, Linux (incluso l’hypervisor ESXi) e MacOS e di esfiltrare file dalle macchine compromesse allo scopo di perpetrare attacchi ransomware a doppia estorsione. Ulteriori elementi d’analisi confermano che la campagna sia stata mirata a colpire in particolar modo gli utenti domestici.
Altri dettagli nel rapporto completo: https://cert-agid.gov.it/news/come-funziona-il-ransomware-knight-analisi-con-laiuto-di-triton/