Allarme in Italia: ransomware Knight diffuso tramite false fatture

Nel corso degli scorsi giorni, le attività di monitoraggio del CERT-AGID hanno individuato una temibile minaccia che sta prendendo di mira le aziende italiane.

Stiamo parlando del ransomware Knight, che viene diffuso online attraverso un account e-mail che, a prima vista, sembra corrispondere a una società italiana verosimile. Stando agli esperti, l’oggetto della mail incriminata reciterebbe un messaggio con due potenziali varianti “cambio di conto bancario fraudolento” o “Richiesta di supporto“.

Il messaggio di posta elettronica in questione, poi, andrebbe a fornire un testo nella nostra lingua, oltre a un file allegato denominato fatture__allegato.html. Aprendo tale file, la malcapitata vittima viene indirizzata verso un’immagine di un documento Word sbiadito, con l’invito al download del relativo file per una lettura in locale.

Come è facile intuire, il documento in realtà non è quello che può sembrare a prima vista.

Come agisce il ransomware Knight?

Il download, in realtà, si rivela essere un archivio denominato Fatture-Urgenti-e-Richiesta-Pagamento.zip, che include 5 file caratterizzati da doppia estensione.

Si parla di 2 XLL e 3 LNK che, agli occhi di un utente, sembrano però XLSX o DOCX. Per avviare l’infezione del ransomware Knight, a questo punto, basta cliccare su uno qualunque di questi file.

Le conseguenze di tale azione, come è facile intuire, sono devastanti. L’agente malevolo, infatti, agisce effettuando la crittografia dei file presenti sul computer infetto, rinominando gli stessi con l’stensione .knight e bloccandone l’accesso alla vittima. Allo stesso tempo, viene creata in automatico una nota per la richiesta di riscatto.

Questa direziona l’utente verso un URL della rete TOR, dove viene richiesto un riscatto che ammonta a Bitcoin per un valore attuale di circa 18.990 dollari (circa 18.120 euro).

Knight è una versione modificata del ransomware Cyclops, già attivo online nel corso del mese di agosto. A preoccupare CERT-AGID è il fatto che, dal 2017, eslcuso Qakbot questo è l’unico attacco identificato capace di agire in autonomia, senza vincoli legati ad eventuali pregresse infezioni dei dispositivi colpiti.