Kasseika Ransomware
O grupo de ransomware chamado Kasseika adotou recentemente o método de ataque Traga seu próprio driver vulnerável (BYOVD) para neutralizar processos de segurança em sistemas Windows comprometidos. Essa abordagem alinha Kasseika com outros grupos como Akira, AvosLocker, BlackByte e RobbinHood, que também empregam a técnica BYOVD para desligar processos e serviços antimalware, facilitando a implantação de ransomware.
Identificado inicialmente por especialistas em segurança cibernética em meados de dezembro de 2023, Kasseika compartilha semelhanças com o agora extinto grupo BlackMatter, que surgiu após o encerramento do DarkSide. Há indicações que sugerem que a variante de ransomware associada ao Kasseika pode ser o resultado de um agente de ameaça experiente obter acesso ou comprar ativos da BlackMatter. Esta especulação surge do fato de que o código-fonte do BlackMatter não foi divulgado publicamente desde o seu desaparecimento em novembro de 2021.
Índice
Vetores de Ataque Utilizados para Infectar Dispositivos com o Kasseika Ransomware
As sequências de ataque do Kasseika iniciam com um e-mail de phishing projetado para acesso inicial, seguido pela implantação de Ferramentas de Acesso Remoto (RATs) para adquirir entrada privilegiada e navegar lateralmente dentro da rede visada. Notavelmente, os agentes de ameaças nesta campanha foram observados empregando o utilitário de linha de comando Sysinternals PsExec da Microsoft para executar scripts em lote inseguros. Este script verifica a presença de um processo chamado 'Martini.exe' e, se detectado, o encerra para garantir que apenas uma única instância do processo seja executada na máquina.
A função principal do executável ‘Martini.exe’ é baixar e executar o driver ‘Martini.sys’ de um servidor remoto. Este driver é responsável por desabilitar 991 ferramentas de segurança. É pertinente mencionar que 'Martini.sys' é um driver legitimamente assinado com o nome 'viragt64.sys', mas foi incluído na lista de bloqueio de drivers vulneráveis da Microsoft. Se o 'Martini.sys' não for encontrado, o malware se encerra, evitando futuras execuções.
Após esta fase, 'Martini.exe' inicia a execução da carga útil do ransomware, 'smartscreen_protected.exe', responsável pelo processo de criptografia usando algoritmos ChaCha20 e RSA. No entanto, antes de iniciar a criptografia, ele encerra todos os processos e serviços associados ao Windows Restart Manager.
O Kasseika Ransomware Exige Exorbitantes Pagamentos de Resgate das Vítimas
Após a criptografia, uma nota de resgate é depositada em cada diretório afetado, acompanhada por uma modificação no papel de parede do computador, exibindo uma exigência de pagamento de 50 Bitcoins para um endereço de carteira específico. A estipulação é efetuar o pagamento em até 72 horas; caso contrário, existe o risco de incorrer em uma cobrança adicional de US$ 500.000 a cada 24 horas quando o prazo expirar.
Além disso, as vítimas são obrigadas a partilhar uma captura de ecrã confirmando o pagamento bem-sucedido num grupo de Telegram controlado pelo ator para receber a ferramenta de desencriptação.
O Kasseika Ransomware está Equipado com Muitos Recursos Ameaçadores
Além de suas funções primárias, o Kasseika Ransomware emprega táticas adicionais para encobrir seus rastros. Uma dessas técnicas envolve apagar rastros de suas atividades, utilizando o binário wevtutil.exe para limpar os logs de eventos do sistema. Este comando limpa com eficiência os logs de eventos de aplicativos, segurança e sistema no sistema Windows. Ao empregar esse método, o ransomware opera discretamente, aumentando a dificuldade das ferramentas de segurança em detectar e responder a atividades maliciosas.
O pedido de resgate apresentado pelo Kasseika Ransomware às vítimas diz:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
