Knight rappresenta un’evoluzione significativa nel panorama dei ransomware, emergendo nell’agosto 2023 come un discendente diretto di Cyclops ransomware. Con un aggiornamento sostanziale nella sua struttura e funzionalità, Knight ransomware ha dimostrato un livello di adattabilità e versatilità preoccupante, colpendo sistemi operativi diversi come Windows, Linux, MacOS e hypervisor ESXi.

La sua capacità di attaccare diversi ambienti e la sua natura di ransomware multi-estorsione, che include l’ostentazione dei dati esfiltrati su un sito web onion, sottolinea la crescente sofisticatezza e il pericolo rappresentato da tali minacce.

Knight ransomware threat digital security
  1. Natura del ransomware Knight
  2. Come si diffonde
  3. Funzionalità tecniche di Knight ransomware
  4. Come Knight ransomware si prepara all’attacco
  5. Tipologia di algoritmo crittografico
  6. Ransomware note: ecco il testo di Knight
  7. Diffusione del ransomware: come avviene in Italia?
  8. Come agire in caso di attacchi tipo Knight ransomware

Natura del ransomware Knight

Il ransomware Knight opera seguendo un modello di Ransomware-as-a-Service (RaaS), una pratica in cui la sua infrastruttura e le capacità di attacco vengono offerte come servizio a operatori individuali di ransomware. Questo modello facilita una distribuzione più ampia e indiscriminata, permettendo agli affiliati di Knight di colpire una vasta gamma di obiettivi, inclusi ambienti aziendali e piccole e medie imprese (SMB). Nonostante l’approccio generico nella scelta delle vittime, Knight ha dimostrato un focus particolare nel mirare aziende e organizzazioni, segnando un percorso strategico per massimizzare l’impatto finanziario e operativo delle sue campagne di estorsione​.

Come si diffonde

Il ransomware Knight viene principalmente distribuito attraverso campagne di phishing e spear phishing, tattiche che sfruttano l’inganno per indurre gli utenti a eseguire azioni rischiose, come aprire allegati infetti o cliccare su link dannosi. Un esempio evidente è stato l’uso di messaggi che simulavano comunicazioni legittime da parte di organizzazioni conosciute, come TripAdvisor. Questi attacchi mirati dimostrano la sofisticatezza e l’ingegnosità degli affiliati di Knight, che utilizzano approcci personalizzati per ingannare le vittime e garantire il successo delle infezioni​​.

Funzionalità tecniche di Knight ransomware

Knight Ransomware si distingue per la sua avanzata suite di funzionalità tecniche, mirate a massimizzare l’efficacia dell’attacco e la difficoltà di rilevamento. Fondamentale in questo contesto è l’uso del packer IDAT loader, una tecnologia sofisticata per eludere la rilevazione da parte degli Endpoint Detection and Response (EDR). Questo strumento consente al ransomware di nascondersi efficacemente durante la fase iniziale dell’infezione, complicando notevolmente gli sforzi di difesa.

Knight è scritto in linguaggio C++, una scelta che gli conferisce sia flessibilità che potenza.
Le stringhe all’interno del codice sono offuscate, rendendo l’analisi e il reverse engineering particolarmente difficili. Questa tecnica di offuscamento è progettata per ostacolare l’automazione degli strumenti di sicurezza che cercano di decifrare e analizzare il comportamento del malware.

L’efficacia di Knight nel colpire i suoi obiettivi è ulteriormente potenziata dalla sua capacità di esfiltrare i file dalle macchine compromesse. Questo non solo consente agli attaccanti di estorcere il pagamento del riscatto per la decrittazione dei file, ma anche di minacciare la pubblicazione dei dati rubati, una tattica nota come double extortion.

Inoltre, Knight può infettare una varietà di sistemi operativi, inclusi Windows, Linux e MacOS, dimostrando la sua versatilità e la capacità di adattarsi a diversi ambienti informatici. Questo amplifica notevolmente il suo potenziale distruttivo e l’ampiezza di attacco​.

Una peculiarità distintiva di Knight ransomware è il suo controllo automatizzato della lingua del sistema operativo della vittima.
Attraverso l’utilizzo delle API GetSystemDefaultUILanguage e GetUserDefaultUILanguage, Knight identifica il codice lingua (LCID) del sistema. Se il LCID rientra in un insieme predefinito, il ransomware interrompe le sue operazioni. Questa lista include lingue di paesi appartenenti al blocco CIS, nonché lingue arabe e cinesi. Questa funzionalità suggerisce una strategia mirata degli attaccanti, che evitano di colpire determinate regioni geografiche o gruppi linguistici, probabilmente per motivi politici o strategici​.

Come Knight ransomware si prepara all’attacco

Prima di iniziare la fase di cifratura dei file, Knight ransomware esegue una serie di operazioni preliminari per ottimizzare l’efficacia dell’attacco e minimizzare le possibilità di intervento. Queste includono:

  1. Disabilitazione dei messaggi di errore: ransomware Knight impedisce la visualizzazione di messaggi di errore in caso di eccezioni non gestite, riducendo così la possibilità che l’utente si accorga dell’attacco in corso.
  2. Impostazioni di terminazione del processo: il ransomware si configura per essere uno degli ultimi processi da terminare in caso di spegnimento del computer, garantendo così che continui ad operare il più a lungo possibile.
  3. Svuotamento del cestino: questa azione rimuove potenziali file di backup o copie di sicurezza che potrebbero essere utilizzate per ripristinare i dati dopo l’attacco.
  4. Calcolo del numero di thread: il malware calcola il numero ottimale di thread da utilizzare per le sue operazioni di ricerca e cifratura dei file, massimizzando l’efficienza e riducendo il tempo necessario per completare l’attacco.

Tipologia di algoritmo crittografico

Il ransomware Knight implementa uno schema crittografico robusto.
Utilizza la combinazione di X25519 e HC-256 per la cifratura. L’algoritmo X25519 viene impiegato per lo scambio di chiavi, permettendo la creazione di un segreto condiviso necessario per derivare le chiavi individuali per ogni file. HC-256, uno stream cipher molto veloce, è poi utilizzato per la cifratura effettiva dei file. Questo approccio, che combina un protocollo Diffie-Hellman con un cifrario simmetrico, assicura che anche se una chiave viene compromessa, gli altri file rimangono sicuri, aumentando notevolmente la resistenza del ransomware ai tentativi di decrittazione​.

Ransomware note: ecco il testo di Knight

>> What happens?
Your files are encrypted, without our help, it’s irreversible. We got all of your confidential data, including business information.If we do not receive payment, we will leak the data(Including your competitors or law enforcement may get them on the web).Of course our disclosure will not reveal the complete document, some confidential information will appear in redacted form, which will not be recoverable on a computer.Everyone needs to be paid for their labor, and if you don’t pay for it, your data can only be erased.

>> How to contact with us?
1. Download and install TOR Browser (https://www.torproject.org/).[If you don’t know how to use it, do a Google search!]
2. Open —-
3. Contact us all the time, you may have something unexpected!

>> What guarantees?
As soon as you pay, you can get a comprehensive solution to this problem, and we provide you with a complete security audit solution to help you strengthen your security measures,and we will delete the data we get from you.Hopefully you can contact us soon for any information you’d like to know!We offer you a free test decryption in our webpage!

>>> Warning! Recovery recommendations.
We strongly recommend you to do not MODIFY or REPAIR your files, as this will damage them.

Diffusione del ransomware: come avviene in Italia?

In Italia, Knight ransomware è stato distribuito tramite una campagna malspam.

Queste email, apparentemente provenienti da società italiane, avevano come oggetto “cambio di conto bancario fraudolento” o “Richiesta di supporto“. Gli allegati, mascherati da documenti di fattura, erano in realtà file ZIP contenenti file di installazione del ransomware. Una volta aperti i file dalla vittima, si avviava la catena di infezione che culminava nell’esecuzione del ransomware Knight e nella cifratura dei file, rinominati con l’estensione .knight_l.

Come agire in caso di attacchi tipo Knight ransomware

In caso di attacco da parte di un ransomware come Knight, è cruciale adottare immediatamente misure incisive.
Il primo passo è isolare il sistema infetto dalla rete, limitando così la diffusione del ransomware ad altri dispositivi.

Parallelamente, è essenziale identificare la variante specifica del ransomware per valutare la disponibilità di strumenti di decrittazione e capire meglio il suo funzionamento. Se sono disponibili backup non compromessi, questi possono essere utilizzati per ripristinare i file cifrati. È fondamentale consultare esperti di sicurezza informatica per una valutazione approfondita e assistenza tecnica.

Inoltre, è importante notificare l’incidente alle autorità competenti e informare le parti interessate, seguendo le normative sulla privacy e sicurezza dei dati. Una revisione delle misure di sicurezza IT esistenti e una formazione regolare sui rischi di sicurezza per i dipendenti possono rafforzare le difese contro futuri attacchi. Infine, è necessario considerare le implicazioni legali ed etiche prima di decidere se pagare il riscatto, poiché ciò potrebbe incoraggiare ulteriori attività criminali senza garantire la restituzione dei dati. Dopo un attacco, è vitale mantenere un monitoraggio continuo per rilevare eventuali attività residue o nuove minacce.