Le rançongiciel Knight est distribué dans le cadre d’une campagne de spam en cours qui prétend être des plaintes de TripAdvisor.
Knight ransomware est une nouvelle image de marque du Cyclop Ransomware-as-a-Service, qui a changé de nom fin juillet 2023.
Qui est le rançongiciel Cyclops and Knight ?
L’opération de ransomware Cyclops a été lancée en mai 2023 lorsque les opérateurs ont commencé à recruter des affiliés pour le nouveau ransomware-as-a-service (RaaS) sur le forum de piratage RAMP.
Un rapport d’Uptycs explique que l’opération a été lancée avec des chiffreurs pour Windows, macOS et Linux/ESXi. L’opération propose également aux affiliés des logiciels malveillants voleurs d’informations pour Windows et Linux, ce qui n’est normalement pas le cas dans les opérations RaaS.
En plus de leurs crypteurs normaux, l’opération propose une version « allégée » à utiliser dans les campagnes de distribution massive de spam et de prière et de pulvérisation ciblant un grand nombre d’utilisateurs ciblés. Cette version semble utiliser un montant de rançon fixe plutôt que de négocier avec les victimes.
Fin juillet, Cyclops a été rebaptisé Knight, déclarant également avoir mis à jour le crypteur léger pour prendre en charge la « distribution par lots » et lancé un nouveau site de fuite de données.
« Nous avons mis à jour notre nouveau panel et avons officiellement changé notre nom en Knight. Nous recherchons des partenaires (de toute sorte) qui !!! », lit-on dans une annonce sur l’ancien Cyclope et le nouveau site de fuite de données Knight.
« Nous avons également mis à jour la version allégée pour prendre en charge la distribution par lots. »
Il n’y a actuellement aucune victime ou fichier volé divulgué sur le site de fuite de données de Knight.
La campagne de spam Knight
Cette semaine, le chercheur Sophos Felix a repéré une nouvelle campagne de spam prétendant être des plaintes de TripAdvisor mais distribuant le rançongiciel Knight à la place.
Bien que les e-mails réels n’aient pas été partagés, Felix a déclaré que les e-mails incluaient des pièces jointes de fichiers ZIP nommées « TripAdvisorComplaint.zip » qui contiennent un exécutable nommé « TripAdvisor Complaint – Possible Suspension.exe » [VirusTotal].
Une version plus récente de cette campagne repérée et analysée par Breachtrace inclut désormais une pièce jointe HTML nommée ‘TripAdvisor-Complaint-[random].PDF.htm’ [VirusTotal].
Lorsque le fichier HTML est ouvert, il utilise la technique de phishing Browser-in-the-Browser de Mr.D0x pour ouvrir ce qui semble être une fenêtre de navigateur sur TripAdvisor.
Cette fausse fenêtre de navigateur prétend être une plainte déposée auprès d’un restaurant, demandant à l’utilisateur de l’examiner. Cependant, cliquer sur le bouton « Lire la plainte » téléchargera un fichier Excel XLL nommé « TripAdvisor_Complaint-Possible-Suspension.xll » [VirusTotal], comme indiqué ci-dessous.
Ce fichier XLL est créé à l’aide d’Excel-DNA, qui intègre .NET dans Microsoft Excel pour exécuter le logiciel malveillant lors de son ouverture.
Lorsque vous ouvrez le XLL, Microsoft Excel détecte la marque du Web (MoTW), ajoutée aux fichiers téléchargés sur Internet, y compris les e-mails. S’il détecte le MoTW, il n’activera pas le complément .NET intégré au document Excel, annulant l’attaque à moins qu’un utilisateur ne débloque le fichier.
Cependant, s’il n’y a pas d’indicateur MoTW sur le fichier, Excel demandera à l’utilisateur s’il souhaite activer le complément, comme indiqué ci-dessous.
L’activation du complément entraînera l’injection du chiffreur de ransomware Knight Lite dans un nouveau processus explorer.exe et commencera à chiffrer les fichiers sur votre ordinateur.
Lors du cryptage des fichiers, il ajoutera l’extension .knight_l aux noms des fichiers cryptés, où la partie « l » signifie probablement « lite ».
Le rançongiciel créera également une note de rançon nommée Comment restaurer vos fichiers.txt dans chaque dossier de l’ordinateur. La note de rançon de cette campagne exige que 5 000 $ soient envoyés à une adresse Bitcoin répertoriée et contient également un lien vers le site Knight Tor.
Cependant, chaque note de rançon de cette campagne vue par Breachtrace utilise la même adresse Bitcoin de « 14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z », ce qui empêcherait l’acteur de la menace de déterminer quelle victime a payé une rançon.
Comme il s’agit d’une campagne Knight Lite, la visite du site n’affiche pas de panneau de négociation. Au lieu de cela, il affiche un message indiquant que les victimes auraient déjà dû payer la demande de rançon et contacter ensuite l’affilié à [email protected].
À l’heure actuelle, on ne sait pas si le paiement d’une rançon entraînera la réception d’un décrypteur de l’affilié Knight.
De plus, toutes les notes de rançon vues par Breachtrace utilisent la même adresse Bitcoin, ce qui permet à quelqu’un d’autre de réclamer un paiement comme le leur, volant essentiellement votre paiement.
Par conséquent, il est fortement conseillé de s’abstenir de payer une rançon dans cette campagne, car il y a de fortes chances que vous ne receviez pas de décrypteur.