Kasseika ransomware

Il gruppo ransomware denominato Kasseika ha recentemente adottato il metodo di attacco Bring Your Own Vulnerable Driver (BYOVD) per neutralizzare i processi di sicurezza sui sistemi Windows compromessi. Questo approccio allinea Kasseika con altri gruppi come Akira , AvosLocker, BlackByte e RobbinHood , che utilizzano anch'essi la tecnica BYOVD per disattivare processi e servizi anti-malware, facilitando la distribuzione del ransomware.

Identificato inizialmente dagli esperti di sicurezza informatica a metà dicembre 2023, Kasseika condivide somiglianze con il gruppo BlackMatter , ormai sciolto, emerso in seguito alla chiusura di DarkSide . Ci sono indicazioni che suggeriscono che la variante ransomware associata a Kasseika potrebbe essere il risultato dell'accesso o dell'acquisto di risorse da parte di un hacker esperto. Questa speculazione nasce dal fatto che il codice sorgente di BlackMatter non è stato divulgato pubblicamente dalla sua chiusura nel novembre 2021.

Vettori di attacco utilizzati per infettare i dispositivi con il ransomware Kasseika

Le sequenze di attacco di Kasseika iniziano con un'e-mail di phishing progettata per l'accesso iniziale, seguita dall'implementazione di strumenti di accesso remoto (RAT) per acquisire un accesso privilegiato e navigare lateralmente all'interno della rete presa di mira. In particolare, è stato osservato che gli autori delle minacce all'interno di questa campagna utilizzano l'utilità della riga di comando Sysinternals PsExec di Microsoft per eseguire script batch non sicuri. Questo script verifica la presenza di un processo chiamato "Martini.exe" e, se rilevato, lo termina per garantire che sulla macchina venga eseguita solo una singola istanza del processo.

Il ruolo principale dell'eseguibile "Martini.exe" è scaricare ed eseguire il driver "Martini.sys" da un server remoto. Questo driver è responsabile della disabilitazione degli strumenti di sicurezza 991. È opportuno menzionare che "Martini.sys" è un driver legittimamente firmato con il nome "viragt64.sys", ma è stato incluso nella blocklist dei driver vulnerabili di Microsoft. Se "Martini.sys" non viene trovato, il malware termina da solo, impedendo un'ulteriore esecuzione.

Dopo questa fase, "Martini.exe" avvia l'esecuzione del payload del ransomware, "smartscreen_protected.exe", responsabile del processo di crittografia utilizzando gli algoritmi ChaCha20 e RSA. Tuttavia, prima di iniziare la crittografia, termina tutti i processi e i servizi associati a Gestione riavvio di Windows.

Il ransomware Kasseika richiede riscatti esorbitanti alle vittime

Dopo la crittografia, in ciascuna directory interessata viene depositata una richiesta di riscatto, accompagnata da una modifica dello sfondo del computer che visualizza una richiesta di pagamento di 50 Bitcoin a un indirizzo di portafoglio specificato. La clausola è di effettuare il pagamento entro 72 ore; in caso contrario, si corre il rischio di incorrere in un addebito aggiuntivo di 500.000 dollari ogni 24 ore una volta scaduto il termine.

Inoltre, per ricevere lo strumento di decrittazione, le vittime sono tenute a condividere uno screenshot che confermi l'avvenuto pagamento in un gruppo Telegram controllato dagli attori.

Il ransomware Kasseika è dotato di ampie capacità di minaccia

Oltre alle sue funzioni primarie, Kasseika Ransomware impiega tattiche aggiuntive per coprire le sue tracce. Una di queste tecniche prevede la cancellazione delle tracce delle proprie attività utilizzando il binario wevtutil.exe per cancellare i registri degli eventi del sistema. Questo comando cancella in modo efficiente i registri eventi di applicazione, sicurezza e sistema sul sistema Windows. Utilizzando questo metodo, il ransomware funziona in modo discreto, aumentando la difficoltà per gli strumenti di sicurezza di rilevare e rispondere ad attività dannose.

La richiesta di riscatto presentata dal Kasseika Ransomware alle vittime recita:

  'Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'