Kasseika Ransomware utiliza un método de infiltración avanzado

El grupo de ransomware llamado Kasseika adoptó recientemente la técnica de ataque Bring Your Own Vulnerable Driver (BYOVD) para desactivar procesos relacionados con la seguridad en hosts de Windows comprometidos. Esto lo alinea con otros grupos como Akira, AvosLocker, BlackByte y RobbinHood.

Este enfoque permite a los actores de amenazas finalizar procesos y servicios antivirus, facilitando la implementación de ransomware, según un análisis de Trend Micro del martes. Descubierto por la firma de ciberseguridad a mediados de diciembre de 2023, Kasseika comparte similitudes con el ya desaparecido BlackMatter, que surgió tras el cierre de DarkSide.

Se cree que Kasseika tiene vínculos con BlackMatter

Hay indicios de que Kasseika puede ser obra de un actor de amenazas experimentado que obtuvo acceso a BlackMatter, ya que el código fuente de este último no se ha filtrado públicamente desde su desaparición en noviembre de 2021.

El proceso de ataque iniciado por Kasseika normalmente comienza con un correo electrónico de phishing para el acceso inicial. Posteriormente, se implementan herramientas de administración remota (RAT) para obtener acceso privilegiado y moverse lateralmente dentro de la red de destino.

Los actores de amenazas utilizan la utilidad de línea de comandos Sysinternals PsExec de Microsoft para ejecutar un script por lotes malicioso. Este script comprueba la existencia de un proceso llamado "Martini.exe" y lo finaliza si lo encuentra, asegurando que solo se ejecute una instancia del proceso en la máquina.

Modo de infección de Kasseika

El ejecutable "Martini.exe" descarga y ejecuta el controlador "Martini.sys" desde un servidor remoto para desactivar 991 herramientas de seguridad. Es de destacar que "Martini.sys" es un controlador legítimo firmado llamado "viragt64.sys" que Microsoft ha agregado a su lista de controladores vulnerables bloqueados.

En caso de que "Martini.sys" no esté presente, el malware se elimina solo, lo que subraya el papel crucial del controlador en la evasión de defensa. Después de este paso, "Martini.exe" inicia la carga útil del ransomware ("smartscreen_protected.exe"), que utiliza algoritmos ChaCha20 y RSA para el cifrado. Esto ocurre después de finalizar todos los procesos y servicios que acceden al Administrador de reinicio de Windows.

El ransomware deja una nota en cada directorio cifrado y altera el fondo de pantalla de la computadora exigiendo un pago de 50 bitcoins en un plazo de 72 horas. El incumplimiento corre el riesgo de recibir $500,000 adicionales cada 24 horas después de la fecha límite. Las víctimas deben publicar una captura de pantalla del pago en un grupo de Telegram controlado por un actor para recibir un descifrador.

Kasseika ransomware emplea medidas adicionales, como borrar los registros de eventos del sistema utilizando el binario wevtutil.exe, para borrar rastros de su actividad.