Secondo i ricercatori Proofpoint, l’Italia è nel mirino del ransomware Knight, il cui metodo di attacco è stato identificato per la prima volta dal 2021.
“L’allarme rilasciato dal CERT-AgID alcune settimane fa riguardo a una campagna di phishing finalizzata alla diffusione del ransomware Knight”, commenta Riccardo Paglia, cyber security Expert, COO e Co-fondatore di Swascan, “corrobora i trend osservati nel corso del 2023”.
Ecco come proteggersi da Knight o da Knight Lite, la versione ribattezzata del ransomware-as-a-service Cyclops.
Indice degli argomenti
L’Italia è nel mirino del ransomware Knight
Attualmente è raro che il ransomware giunga direttamente via mail. Tuttavia le cyber gang prediligono la collaborazione con broker di accesso iniziale (Initial Access Broker), entità operanti nella distribuzione di malware in campagne ad alto volume. L’obiettivo è quello di vendere poi l’accesso ai sistemi compromessi.
“Il fattore umano continua ad essere l’anello debole”, conferma Fabrizio Rendina, Head of SOC di Swascan, “e più attaccato, nella catena della cyber security”.
Tuttavia, in alcuni casi limite, il cyber crime tenta di bypassare l’intermediario e, una volta eliminato, distribuire direttamente il proprio ransomware.
“Secondo il Soc Team Swascan”, continua Paglia, “nel secondo trimestre del 2023, il fenomeno del ransomware è cresciuto del 105% a livello globale e del 34,6% in Italia. Il nostro Paese, e in particolare le PMI, sembra essere sempre più nel mirino, con l’80% degli attacchi registrati che le ha colpite, come evidenziato dal report Threatland Q2 di Swascan”.
Lo scorso agosto i ricercatori Proofpoint hanno individuato varie campagne, per lo più a basso volume (inferiori a 500 messaggi, solo in un caso superati i mille), in cui la consegna di Knight avveniva direttamente via mail.
Se queste email si riferivano soprattutto a utenti di lingua inglese, la rilevazione ha coinvolto anche attività dedicate a utenti in Italia e Germania, in italiano e in tedesco, rispettivamente. Le esche email di queste campagne comprendevano messaggi falsi di un sito web di viaggi, oltre a temi sulla fatturazione. L’allegato HTML alle email carica un’interfaccia browser-in-the-browser in grado di simulare il sito legittimo: invita la vittima a cliccare, effettuando così il download di un file eseguibile .zip o XLL con il ransomware.
“La novità risiede principalmente nel threat actor”, secondo Riccardo Paglia, “mentre le modalità e le tecniche rimangono sostanzialmente invariate, segnalando l’uso strategico di vettori di attacco tipici del social engineering. Questi cercano di ingannare gli utenti con finti documenti, come fatture. Il fatto che tali tattiche restino costanti nel tempo sottolinea che è possibile difenderci e proteggerci”.
I dettagli
Campagne successive per utenti italiani hanno modificato la catena di attacco per includere un file .zip interstiziale contenente un link verso uno share WebDAV o un XLL, che installano un downloader. Proofpoint lo ha identificato e su questo sta effettuando analisi.
Il downloader adotta a sua volta il payload di Knight. In tutte le catene di attacco, inoltre, il ransomware si muove in maniera laterale, tramite la scansione degli indirizzi IP privati in qualità di precursore della crittografia dei dispositivi in rete.
I file subiscono il processo crittografico con un’estensione .knight_l e la richiesta di riscatto prevede pagamenti in Bitcoin da 5.000 a 15.000 dollari.
L’attore della minaccia offre un link a un sito con ulteriori istruzioni e un indirizzo email per la notifica dell’avvenuto pagamento. Al momento, non ci sono evidenze di dati esfiltrati e crittografati.
Come proteggersi
Lo scenario delle minacce è in continua evoluzione, dai tempi del ransomware Locky (campagne ad alto volume) alle attività di Knight. Ma il recente blocco di Qbot, la botnet malware su vasta scala, popolare fra molti Iab, potrebbe indurre gli attaccanti che usano il ransomware a tornare sui vecchi passi dei loro metodi di consegna, tornando in qualche modo al passato con la consegna di ransomware via email.
Il fattore umano dunque gioca un ruolo essenziale. Innanzitutto “è fondamentale prestare la massima attenzione all’indirizzo email del mittente, soprattutto qualora l’email contenga link o allegati”, mette in guardia Fabrizio Rendina: “in caso di dubbi, non cliccare mai sui collegamenti e non aprire mai i documenti allegati”.
“La formazione e la sensibilizzazione sono fondamentali”, sottolinea Paglia, “ma è altrettanto importante l’adozione di attività di Threat Intelligence e l’implementazione di sistemi di telemetria associati a SOC, capaci di intercettare e bloccare la minaccia”.
“Fornire formazione agli utenti su come riconoscere e prevenire gli attacchi di phishing è ormai una priorità non più rimandabile”, gli fa eco Rendina, “i dipendenti sono spesso la prima linea di difesa contro ogni genere di attacco informatico, e renderli edotti sulle techiche utilizzate dagli attaccanti, specialmente nel phishing, può essere la misura giusta per proteggere l’azienda dal rischio di attacchi”.
“Occorre tenere costantemente elevata l’attenzione su quanto ci viene proposto attraverso gli innumerevoli canali che ci connettono, adottando quanto più possibile un approccio totalmente zero-trust”, conclude Giuseppe Dongu, Head of Swascan Cybersecurity Team.
