Analisi di un ransomware mascherato da finto allegato che ha finito per colpire anche l’Italia.
Il mondo digitale è perennemente posto su una bilancia. Se da una parte c’è l’innovazione atta a migliorare l’esperienza d’uso e il metodo con cui una tecnologia viene usufruita, dall’altra c’è l’intenzione criminale di sfruttare questa innovazione a proprio vantaggio.

knight ransomware

I ransomware odierni appartengono proprio a questa dualità e l’attore malevolo protagonista dell’approfondimento odierno, è Knight, una delle recenti minacce più popolari nel sottobosco hacker del dark web.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Le origini di Knight

Scoperto per la prima volta nel 2021 dai ricercatori di Proofpoint, Knight ransomware era originariamente conosciuto come Cyborg ed era mantenuto attivo dalla cybergang omonima. Tuttavia, il 26 luglio 2023 il collettivo annunciò sul suo portale Tor l’intenzione di effettuare un completo rebrand del malware, trasformandolo di fatto in Knight e assumendo lo stesso nome per identificarsi.

Come già accaduto per altri ransomware analizzati, Knight appartiene alla categoria di Ransomware-as-a-Service (o RaaS), il che significa una sola cosa: il virus è un prodotto che può essere acquistato e utilizzato da chiunque, in quanto pronto all’uso. A questo si aggiunge un ulteriore elemento messo in vendita: lo stealer. Questo modulo facilita l’esproprio dei dati criptati dal sistema della vittima presa d’assalto, assicurando al collettivo criminale un ulteriore ricavo derivante dalla percentuale corrisposta dal riscatto.

Ma Knight non è noto solo per questi elementi, quanto più per aver preso di mira l’Italia e averla colpita in maniera piuttosto assidua.
Questo perché lo stesso giungeva tramite e-mail mascherato da finta fattura. La tattica è piuttosto insolita, in quanto i collettivi cybercriminali tendono a prediligere l’approccio IAB (Initial Access Broker), ovvero agire mediante entità già attive nella distribuzione di malware in massicce campagne, in modo da potersi successivamente assicurare l’ingresso libero in sistemi già compromessi.

La ragione dietro questo approccio è spiegata da Fabrizio Rendina, Security Operation Center Manager di Swascan, il quale afferma che

il fattore umano è sempre l’anello debole della catena operativa della sicurezza informatica e che risulta essere sempre il più attaccato”.

Poiché l’uomo non è in grado di distinguere un’e-mail malevola da una autentica, finisce per aprirla accidentalmente, infettando inconsapevolmente l’intero sistema. Ed è così che l’80% degli attacchi informatici colpisce l’Italia.

Come funziona Knight?

Essendo un Ransomware-as-a-Service, Knight è costantemente aggiornato e potenziato.
In particolare, l’ultima versione diffusa tramite le campagne di phishing è anche nota come Cyclops 2.0.
Scritto quasi interamente in Glong C++, una variante del linguaggio C++ che rende più difficile una sua individuazione ai software di sicurezza, il ransomware ha come target principale i sistemi operativi:

  • Microsoft Windows
  • Mac OS
  • Linux
  • l’hypervisor VMWare ESXi

Come spiegato nel paragrafo precedente, Knight viene distribuito tramite e-mail di phishing, che si spacciano sia per finte fatture, che per promozioni di TripAdvisor. In entrambi i casi è presente un allegato, solitamente terminante con l’estensione Avywfp.PDF.htm.

Appena questo viene aperto, si viene reindirizzati verso un finto sito TripAdvisor o uno di fatturazione. In realtà si tratta della tattica browser-in-the-browser, poiché in questi è presente un singolo pulsante, che, una volta cliccato, esegue uno script, che porta al download di un archivio. Quest’ultimo contiene tre file distinti, il cui scopo è sempre lo stesso: scaricare Knight nel computer.

Nello specifico i file sono:

  • MANDATORY-invoice.docx.lnk
  • NOT-paid-invoice.pdf.lnk
  • Unconfirmed Invoices – total amount.xll

Se analizzati su Windows, i file con estensione .lnk contengono i comandi Powershell per connettersi al server C&C dei cybercriminali sfruttando il processo explorer.exe. Una volta che il payload è eseguito, Knight crea una nuova cartella denominata “offinelsa”, localizzata nella cartella Roaming di Windows, dove alloca quattro file.

Al termine di questa operazione, viene scaricata nel sistema la dashboard di controllo del virus stesso, che si sostituisce al prompt dei comandi cmd.exe, in modo da sovrascrivere in toto il processo explorer.exe e dare inizio alla criptazione dei file presenti sul sistema.

Ottenuto il nome logico degli hard drive presenti sul sistema, Knight da inizio al processo di criptazione, generando le chiavi di sessione e la chiave pubblica con l’algoritmo Curve25519, per poi calcolare l’hash di sessione mediante l’algoritmo SHA512. La criptazione avviene mediante l’algoritmo HC-256, in cui vengono usati i primi 64 bytes dell’hash ottenuto con SHA512 per stabilire che i primi 32 byte sono la chiave e i secondi il vettore di inizializzazione. Tutti gli algoritmi di criptazione sono implementati staticamente.

I dati scritti in ciascun file possiedono questo formato:

  • Dati criptati
  • 22 bytes come separatori
  • 32 bytes chiave
  • 32 bytes vettore di inizializzazione
  • 4 bytes CRC32
  • 12 bytes di ‘00’

A criptazione ultimata, Knight rilascia in ciascuna cartella non criptata il file How To Restore Tour Files.txt.
Questo informa la compagnia che ha subito un attacco ransomware, che i dati sono stati criptati e procede alla doppia estorsione, con l’esplicito monito di non pensare nemmeno di negoziare con il collettivo. Il riscatto richiesto è l’equivalente di circa 15.000 dollari in Bitcoin da versare sul portafoglio virtuale dei criminali, raggiungibile mediante il link .onion fornito al termine della nota.

La fine di Knight

Il 20 febbraio 2024 un post è apparso sul forum RAMP, in cui si affermava l’intenzione di voler vendere per intero il codice sorgente di Knight, giunto alla versione 3.0 e anch’essa scritta in Glong C++. La peculiarità è che l’annuncio di vendita è stato scritto da Cyclops, il vecchio nome del collettivo dietro Knight, e che la vendita è destinata ad una singola persona.

Stando alle indagini condotte dagli analisti di KELA, le ragioni dietro questa mossa sono da ricercarsi nelle intenzioni concrete del collettivo criminale, che parrebbe essere giunto ad uno stop definitivo. Infatti, l’ultima vittima accertata di Knight risale all’8 febbraio 2024, mentre il loro portale Tor risulta completamente irraggiungibile.

La messa in vendita di un bene del genere rappresenta di fatto la fine di Knight e del collettivo alle sue spalle. Attualmente sono sconosciuti sia l’identità dell’acquirente, che il prezzo di vendita. Tuttavia, è chiaro che l’intenzione finale sia quella di preservare il valore del ransomware come strumento proprietario.

Come proteggersi da un Ransomware-as-a-service?

Una procedura univoca per prevedere un attacco da parte di un ransomware, è pressoché impossibile, ma restano sempre dei consigli su come evitare una sua possibile infezione e mitigare i danni.

  • Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza.

Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza. Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware.

  • Adottare una soluzione di filtraggio e-mail efficace.

Poiché questo tipo di ransomware sfrutta come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio.

  • Implementare un piano di monitoraggio degli endpoint affidabile.

Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.

  • Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente.

L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.

  • Effettuare un backup del database e dei propri servizi online.

Le operazioni di backup sono sempre una delle migliori soluzioni per mitigare i danni e non perdere le informazioni sensibili dei propri clienti. Tuttavia, l’immagine di ripristino risultante deve essere conservata su un server lontano dalla rete principale, in quanto una sua eventuale compromissione vanificherebbe tutti gli sforzi condotti.

In conclusione

Il desiderio di un guadagno facile, alimentato dal crescente bisogno di dover rimanere per forza competitivi in un mercato in rapida espansione, ha fatto sì che il fenomeno dei ransomware esplodesse.

Knight rappresenta di fatto l’ultimo tassello nell’eterno ciclo di lotta alla cybercriminalità. Se da una parte abbiamo team che dedicano giorno e notte allo studio di contromisure da adottare contro minacce del genere, dall’altra ci sono entità che provocano danni devastanti contro enti e semplici utenti nel giro di poco tempo, in quanto le interfacce user friendly e gli strumenti pronti all’uso sono ormai alla portata di tutti.

La collaborazione tra organizzazioni e team di cybersecurity deve essere mandatoria, in quanto è l’unico modo per potersi proteggere da minacce del genere. Ad ogni modo, nemmeno noi semplici utenti siamo esenti da ciò. Mantenere alta la guardia e prestare attenzione a cosa effettivamente ci giunge dal web, è la miglior difesa di cui possiamo disporre.