Il modello di business non prevede un programma di affiliazione come avviene per altri gruppi ransomware finora osservati. Il software è acquistabile da chiunque e pronto all’uso, il componente dedito alla cifratura dei file (il ransomware vero e proprio) viene venduto separatamente da quello atto al furto dei file (lo stealer in gergo). Non è stata infatti rilevata capacità di esfiltrazione dati nell’analisi del campione analizzato dal CERT-AGID.

Nel corso delle attività di monitoraggio il CERT-AGID ha rilevato una campagna malspam italiana volta a compromettere le postazioni di lavoro con il ransomware Knight.

Questa rappresenta la prima campagna ransowmare, dal 2017, eccezion fatta per Qakbot, la cui infrastruttura è stata smantellata di recente, veicoltata direttamente via email senza sfruttare infostealer e quindi senza passare per gli IAB.