Il ransomware Knight è stato distribuito attraverso una campagna di spam con email che sembrano essere inviate da Tripadvisor. Il malware è un rebrand di Cyclops, un RaaS (Ransomware-as-a-Service) compatibile con Windows, macOS, Linux e VMware ESXi. Un ricercatore di Sophos ha scoperto la modalità usata dai cybercriminali per colpire le vittime e chiedere il pagamento del riscatto.
Knight: email di spam da Tripadvisor
L’email include un allegato ZIP che contiene un’eseguibile oppure un file HTML. Quando quest’ultimo viene aperto viene mostrata una finestra del browser con un presunto reclamo inviato da Tripadvisor ad un ristorante. Se l’ignara vittima clicca sul pulsante per leggere il messaggio, sul computer viene scaricato un file Excel XLL.
Essendo un file scaricato da Internet, l’utente deve esplicitamente attivare l’add-in, ovvero il componente del ransomware Knight (iniettato nel processo explorer.exe
) che effettua la cifratura dei file. Ad ogni file viene aggiunta l’estensione .knight_l
(dove l indica la versione lite). Viene quindi creato un file di testo in ogni directory con le istruzioni da seguire per pagare il riscatto (5.000 dollari in Bitcoin).
Viene anche indicato l’indirizzo di un sito Tor. Non è tuttavia prevista una negoziazione (l’importo del riscatto è fisso), quindi la vittima deve contattare i cybercriminali via email dopo aver effettuato il pagamento. Non è noto il numero di vittime, né se viene effettivamente inviato il decryptor dopo il pagamento del riscatto.