Kasseika Ransomware
El grup de ransomware anomenat Kasseika ha adoptat recentment el mètode d'atac Bring Your Own Vulnerable Driver (BYOVD) per neutralitzar els processos de seguretat en sistemes Windows compromesos. Aquest enfocament alinea Kasseika amb altres grups com Akira , AvosLocker, BlackByte i RobbinHood , que també utilitzen la tècnica BYOVD per desactivar processos i serveis anti-malware, facilitant el desplegament de ransomware.
Identificat inicialment per experts en ciberseguretat a mitjans de desembre de 2023, Kasseika comparteix similituds amb el grup BlackMatter , ara dissolt, que va sorgir després de l'aturada de DarkSide . Hi ha indicis que suggereixen que la variant de ransomware associada a Kasseika pot ser el resultat d'un actor d'amenaces experimentat que obté accés o compra actius de BlackMatter. Aquesta especulació sorgeix del fet que el codi font de BlackMatter no s'ha revelat públicament des de la seva desaparició el novembre de 2021.
Taula de continguts
Vectors d'atac utilitzats per infectar dispositius amb el ransomware Kasseika
Les seqüències d'atac de Kasseika s'inicien amb un correu electrònic de pesca dissenyat per a l'accés inicial, seguit del desplegament d'eines d'accés remot (RAT) per adquirir una entrada privilegiada i navegar lateralment per la xarxa de destinació. En particular, s'ha observat que els actors d'amenaça d'aquesta campanya utilitzen la utilitat de línia d'ordres Sysinternals PsExec de Microsoft per executar un script per lots no segur. Aquest script comprova la presència d'un procés anomenat "Martini.exe" i, si es detecta, l'acaba per assegurar-se que només s'executa una sola instància del procés a la màquina.
La funció principal de l'executable "Martini.exe" és descarregar i executar el controlador "Martini.sys" des d'un servidor remot. Aquest controlador és responsable de desactivar les eines de seguretat 991. És pertinent esmentar que "Martini.sys" és un controlador signat legítimament amb el nom "viragt64.sys", però s'ha inclòs a la llista de controladors vulnerables de Microsoft. Si no es troba 'Martini.sys', el programari maliciós s'acaba, evitant una execució posterior.
Després d'aquesta fase, "Martini.exe" inicia l'execució de la càrrega útil del ransomware, "smartscreen_protected.exe", responsable del procés de xifratge mitjançant els algorismes ChaCha20 i RSA. Tanmateix, abans de començar el xifratge, finalitza tots els processos i serveis associats amb el Gestor de reinici de Windows.
El ransomware Kasseika exigeix pagaments de rescat exorbitants a les víctimes
Després del xifratge, es diposita una nota de rescat a cada directori afectat, acompanyada d'una modificació del fons de pantalla de l'ordinador que mostra una demanda de pagament de 50 bitcoins a una adreça de cartera especificada. L'estipulació és fer el pagament en un termini de 72 hores; en cas contrari, hi ha l'amenaça d'incórrer en un càrrec addicional de 500.000 dòlars cada 24 hores un cop expiri el termini.
A més, les víctimes han de compartir una captura de pantalla que confirmi l'èxit del pagament en un grup de Telegram controlat per un actor per rebre l'eina de desxifrat.
El ransomware Kasseika està equipat amb àmplies capacitats d'amenaça
A més de les seves funcions principals, el Kasseika Ransomware utilitza tàctiques addicionals per cobrir les seves pistes. Una d'aquestes tècniques consisteix a esborrar rastres de les seves activitats mitjançant l'ús del binari wevtutil.exe per esborrar els registres d'esdeveniments del sistema. Aquesta ordre esborra de manera eficient els registres d'esdeveniments de l'aplicació, la seguretat i el sistema al sistema Windows. Mitjançant aquest mètode, el ransomware funciona de manera discreta, augmentant la dificultat de les eines de seguretat per detectar i respondre a activitats malicioses.
La demanda de rescat presentada pel Kasseika Ransomware a les víctimes diu:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
