En växande trend inom cybersäkerhet är att ransomware allt mer sällan levereras direkt via e-post. I dag föredrar ransomware-gäng att samarbeta med så kallade initial access brokers (IAB). IAB:er verkar genom att distribuera skadlig programvara i kampanjer med stora volymer och sedan sälja åtkomst till komprometterade system. Men det finns fortfarande undantag där hotaktörer försöker koppla bort mellanhanden och istället leverera ransomware direkt.
Ett färskt exempel på detta är Knight eller Knight Lite ransomware (en omdöpt version av Cyclops ransomware-as-a-service). Under hösten har Proofpoint-forskare observerat ett antal kampanjer där Knight levererades direkt via e-post. Dessa kampanjer har oftast låg volym, med färre än 500 meddelanden, med i enstaka fall har man observerat över 1 000 meddelanden. Kampanjerna riktar sig främst till engelsktalande användare, men Proofpoint har också noterat lokaliserade kampanjer mot användare i Italien och Tyskland.
Lockbeten som används i dessa kampanjer inkluderar falska meddelanden från en välkänd resewebbplats och mer traditionella fakturabedrägerier. E-postmeddelanden innehåller en HTML-bilaga som laddar ett specifikt gränssnitt framtaget för att förfalska legitima webbplatser. Detta gränssnitt innehåller en uppmaning att klicka och ladda ner en körbar fil innehållandes ransomware.
I samtliga fall krypteras filer med filtillägget .knight l, och ett krav på lösensumma lämnas på mellan 5 000-15 000 dollar i Bitcoin. Hotaktören tillhandahåller en länk till en webbplats som innehåller ytterligare instruktioner och en e-postadress för att meddela dem när en betalning har gjorts. För närvarande finns det inget som tyder på att data exfiltreras eller krypteras.
Källa: Proofpoint