Il CERT-AgID ha analizzato un campione del ransomware “Knight” portando alla luce nuovi importanti dettagli. Knight, recentemente distribuito in Italia tramite una falsa fattura, è Cyclops 2.0. Il gruppo responsabile del ransomware ha lanciato una nuova versione a maggio di quest’anno, con un nuovo nome.
Secondo quanto è stato pubblicizzato, il ransomware Knight è in grado di infettare sistemi Windows, Linux (compreso l’hypervisor ESXi) e MacOS. Inoltre, è in grado di esfiltrare file dai dispositivi compromessi, sfruttando la strategia della “double extortion” in cui la vittima è costretta a pagare un riscatto sia per recuperare i propri file che per evitare la loro pubblicazione online.
Il gruppo Knight fornisce il ransomware Knight come RaaS
Il modello di business del gruppo non prevede un programma di affiliazione come avviene per altri gruppi ransomware. Il software è acquistabile da chiunque e pronto all’uso, ma il componente responsabile della cifratura dei file (il ransomware vero e proprio) è venduto separatamente da quello dedicato al furto dei file (lo stealer). Non è stata infatti identificata capacità di esfiltrazione dei dati nell’analisi del campione condotta dal CERT-AGID.
Essendo Knight un RaaS, non sorprende che sia stato diffuso tramite e-mail nella campagna a inizio di questo mese, ma rappresenta comunque una anomalia. I gruppi ransomware più strutturati sfruttano risorse apposite per le prime fasi dell’infezione di una vittima (RRAE – Reconnaissance, Resource, Access, Execution) oppure comprano questo servizio da attori esterni (IAB – Initial Access Broker, nome che per estensione indica anche personale interno al gruppo stesso). Ciò che caratterizza gli IAB è l’utilizzo di malware di tipo infostealer o RAT. Ad esempio – spiegano gli esperti del CERT-AgID – il malware Ursnif, che conosce bene il nostro paese, si è evoluto da Banking Trojan a malware in grado di effettuare Discovery, cioè in grado di ottenere quel genere di informazioni necessarie a determinare il valore della vittima per, si presume, poi operare come IAB.
La modalità di diffusione di un ransomware tramite e-mail è quindi piuttosto inusuale: il gruppo Knight però non ha IAB o risorse per ottenere un accesso iniziale e il suo modello di business impresa si basa sul guadagno attraverso commissioni per il lavoro svolto da altri criminali che acquistano e distribuiscono il ransomware come preferiscono.
È quindi ipotizzabile che attori opportunistici, privi di elevate competenze tecniche, tentino la fortuna inviando Knight a quanti più account e-mail possibili.
Le realtà della “macro-cybercriminalità”, caratterizzata da attori avanzati e persistenti, e quella della “micro-cybercriminalità”, in cui gli attori sono opportunistici, si fa sfumata, e solo il tempo dirà se una nuova campagna ransomware massiva si ripeterà o resterà un fenomeno isolato. Rimane quindi fondamentale l’analisi dei fenomeni ransomware e, più in generale, dei malware (visto che non è possibile scindere completamente i due aspetti) per determinare un quadro più completo delle singole minacce.
L’avvio del ransomware e il packer IDAT loader
Il click su uno dei collegamenti presenti nello ZIP incorporato nella mail non porta all’avvio immediato del malware che invece viene diffuso tramite il packer IDAT loader, che ha lo scopo di sfuggire al rilevamento degli EDR. Questo packer è caratteristico nel suo genere per una serie di TTP peculiari di cui si riportano qui in seguito le caratteristiche principali:
- Si presenta come un’installer (NSIS) o un extractor (WinRAR SFX) che contiene un software lecito ma il cui codice è stato modificato. Ad esempio, nel corso delle analisi del CERT-AGID è stato osservato un installer NSIS che estraeva ed eseguiva un package Python innocuo. L’interprete Python estratto però era stato modificato per eseguire codice malevolo all’avvio. Un altro esempio riguarda l’utilizzo di uno strumento di sincronizzazione di software Adobe con affiancata una DLL del CRT modificata.
- Contiene generalmente stadi multipli in ognuno dei quali viene usato software lecito ma modificato. Questi stadi successivi sono solitamente salvati in un percorso temporaneo.
- I file dello stadio successivo, con il loro nome, sono presenti in memoria in un BLOB di dati.
- Il BLOB cifrato può essere recuperato da un URL o da un file locale (estratto dall’installer o da uno stadio precedente). Si presenta sottoforma di PNG il cui contenuto (compresso) dei chunk IDAT (da cui il nome) sono i byte del BLOB.
Lo stadio finale del packer estrae ed esegue il ransomware Knight in memoria.
Dal punto di vista tecnico, Knight è un ransomware che segue i principi di progettazione standard per questo tipo di malware. Dall’analisi di questo campione sono comunque emerse interessanti e peculiari caratteristiche tra cui:
- La campagna Knight che ha colpito l’Italia è stata diffusa via e-mail, un fatto insolito per un ransomware. Di solito, i ransomware rappresentano l’ultimo stadio di un attacco che inizia con altre tipologie di malware. Altri elementi come l’elenco dei programmi da terminare, confermano che la campagna sia stata mirata verso utenti domestici.
- Allo scopo di evitare sistemi EDR il ransomware è stato fornito con il packer IDAT Loader che è un packer rilasciato a luglio 2023) e piuttosto laborioso da analizzare.
- Il ransomware Knight ha la capacità di individuare altre macchine in rete e di cifrare anche i file condivisi.
- La funzionalità di ricerca delle macchine locali non è perfettamente implementata ed è teoricamente possibile (ma altamente improbabile) che il ransomware cifri i file di macchine pubbliche su internet.
- Il ransomware non attacca macchine Arabe, Cinesi e del blocco CIS.
- Il ransomware non cifra i file di sistema o di applicazioni necessarie all’uso della macchina.
- La crittografia usata è semplice ma efficace.
- Knight è stato pensato per cifrare file anche molto grandi (8TiB e oltre) in modo efficiente, alterando blocchi da 1MiB l’uno a una distanza dall’altro che dipende in modo sublineare dalla dimensione del file.
In conclusione, l’analisi del ransomware Knight ha rivelato dettagli interessanti, tra cui la sua diffusione tramite e-mail, il complicato packer IDAT Loader per sfuggire alla rilevazione degli EDR, la capacità di risparmiare determinate regioni. Sebbene il ransomware Knight segua i principi tecnici comuni dei ransomware, le sue caratteristiche specifiche lo rendono un esempio unico e interessante nel panorama delle minacce informatiche.
https://cert-agid.gov.it/news/come-funziona-il-ransomware-knight-analisi-con-laiuto-di-triton/
