Il ransomware è una tipologia di malware che prevede la criptazione dei dati presenti in un sistema. Il proprietario ne perde così l’accesso. Gli attaccanti, che detengono le chiavi di criptazione per riportare in chiaro i file, ricattano l’azienda vittima affinché paghi un riscatto. Solo dopo il pagamento, gli attaccanti rendono accessibili di nuovo i dati al legittimo proprietario.
Col meccanismo della doppia estorsione la minaccia ransomware è divenuta ancora più grande a causa del fatto che gli attaccanti prima copiano i dati presenti sul sistema bersaglio, quindi li criptano. Utilizzano quindi la minaccia di pubblicare i dati rubati e rivenderli nel dark web come forma di pressione ulteriore.
I rischi per la aziende sono chiari: interruzione della produttività, perdite economiche e di dati sensibili (brevetti, proprietà intellettuali, dati dei clienti ecc…) e sanzioni legali a causa dei data breach, perdita di credibilità e fiducia.
Il ransomware Knight in breve
Di Knight abbiamo già parlato negli scorsi mesi. Si tratta di un ransomware (Raas) che sfrutta la doppia estorsione per ricattare le aziende e monetizzare gli attacchi informatici. Significa che il ransomware è gestito da un gruppo principale che lo affitta ad una serie di affiliati che si occupano, concretamente, di attaccare le aziende. Gli affiliati e i gestori del servizio condividono quindi i guadagni ottenuti dalle estorsioni.
Knight si diffonde principalmente attraverso allegati email. E’ scritto in C++ e utilizza un packer per ridurre il rischio di rilevamento. Tra le altre cose, ha ampie capacità di criptazione e arriva a criptare file molto grandi (fino a 8TB).
Gli attacchi di Knight in Italia
Il ransomware Knight è comparso in Italia a settembre 2023, attraverso una campagna veicolata tramite email che presentava una falsa fattura allegata. A ottobre 2023, la banda di cyber attaccanti di Knight ha poi rivendicato tre nuovi attacchi informatici rivolti ad aziende italiane. Queste ultime riguardavano il settore cinematografico, quello automobilistico e la moda.
I dati di alcune di queste aziende sono stati pubblicati sulla piattaforma UploadNow, all’interno della quale, per comprovare che l’accesso alle infrastrutture fosse avvenuto con successo, è stata riportata una cartella con una serie di documenti rubati. La foto della piattaforma UploadNow di seguito:
Knight 3.0: in vendita sia il codice sorgente che il pannello di controllo
Al momento la minaccia Knight sembra essere stata debellata: Knight il 20 Febbraio 2024 è comparso in vendita sul forum dell’underground hacking RAMP. Com’è possibile vedere dalla foto sottostante, a pubblicare l’annuncio è stato Cyclops (Ciclope), il rappresentante del gruppo Knight. Il messaggio, tradotto in italiano, afferma: “Vendesi il codice sorgente del ransomware Knight 3.0, che include il codice sorgente del pannello di controllo e del ransomware. Tutto il codice sorgente è scritto in Glong C ++. Accettiamo offerte da persone che offrono un acconto o persone affidabili! Le transazioni vengono effettuate solo tramite un garante sui forum dell’underground hacking nel dark web RAMP o XSS”.
Cyclops ha voluto evidenziare anche che il codice sorgente verrà venduto ad una sola persona, preservando così il valore di Knight come strumento proprietario.
Metti la tua azienda al riparo dai ransomware: scopri Seqrite!
Per proteggere la tua azienda da questa pericolosa minaccia e garantire che la sicurezza informatica non venga compromessa è necessario investire in un software anti-ransomware. Seqrite, col suo approccio di sicurezza multilivello, aiuta la tua azienda ad interporre diversi livelli di sicurezza tra gli ednpoint, i server, la rete aziendale e le minacce informatiche. Le soluzioni di sicurezza aziendale di Seqrite sono dotate di molteplici funzionalità capaci di rendere molto difficile la vita ad un ransomware:
- Firewall: impedisce alle minacce di raggiungere l’utente attraverso una rete o Internet.
- Filtro Web: i siti web infetti o dannosi vengono bloccati.
- Protezione Email: blocca le email che veicolano malware.
- Antivirus: offre protezione dai malware. La sua efficacia è garantita dalle più importanti certificazioni del settore.
- Anti Ransomware: questa funzione sfrutta il sistema di individuazione comportamentale di Seqrite per individuare e bloccare i ransomware. Esegue un’analisi in tempo reale del comportamento di un programma una volta entrato nel sistema. Ciò garantisce che il programma venga bloccato prima che inizi a causare danni al sistema. Come ulteriore livello di protezione, esegue anche il backup dei dati in un luogo protetto per aiutare a ripristinare i file in caso di un attacco ransomware. Seqrite / Quick Heal è la prima compagnia indiana con un brevetto ufficiale USA per la tecnologia anti ransomware.
Per saperne di più > Prevenire gli attacchi ransomware da remoto: la strada più semplice
