Ransomware Knight, attenti alle false fatture via e-mail

Tra le campagne malware individuate dal CERT-AGID in settimana spicca la campagna italiana del ransomware Knight la prima dal 2017 ad essere veicolata direttamente via e-mail senza l’ausilio di malware intermediari.

La falsa fattura

Il messaggio di posta elettronica con mittente una società italiana e oggetto “cambio di conto bancario fraudolento” inviterebbe l’interlocutore a prendere visione del documento allegato denominato “fatture_<dominio-email>_allegato.html“.

Fonte CERT-AGID

L’allegato HTML una volta aperto mostrerebbe così con una immagine sbiadita un documento Word con un popup Outlook che invita a scaricare ed aprire un documento, in realtà un file ZIP denominato “Fatture-Urgenti-e-Richiesta-Pagamento.zip” all’interno del quale sono contenuti 2 file .XLL e 3 .LNK.

La catena d’infezione

Qualunque dei 5 file una volta aperti daranno inizio alla catena di infezione che porta all’esecuzione del ransomware Knight con la cifratura dei file rinominati successivamente con estensione .knight_l.

Per scaricare l’eseguibile mentre i tre file .LNK fanno uso di powershell e del processo explorer, i due file .XLL utilizzano un componente aggiuntivo .NET in essi integrato.

Fonte CERT-AGID

La nota del riscatto

Gli esperti del CERT-AGID precisano inoltre nel loro rapporto che la pagina web di riscatto presente sulla rete TOR chiede alle vittime di inoltrare i dettagli della transazione fatta in Bitcoin ad un indirizzo e-mail e quindi di restare in attesa. Fornendo l’ID della transazione, potrebbe inoltre essere possibile testare in anteprima l’efficacia del decryptor.

Fonte CERT-AGID

Nessuna vittima ancora rivendicata

Il sito dataleak di Knight al momento non espone ancora vittime, ma annuncia che la gang starebbe reclutando nuovi partner fornendo i dettagli di contatto.

L’invio di ransomware tramite e-mail fa pensare ad attori opportunistici“, conclude il CERT-AGID, “ma qualora il fenomeno dovesse rinascere potrebbe complicare notevolmente il panorama italiano.”.

Il CERT-AGID si riserva di fornire prossimamente ulteriori dettagli di analisi.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.