Kasseika Ransomware utilise une méthode d'infiltration avancée

Le groupe de ransomwares nommé Kasseika a récemment adopté la technique d'attaque Bring Your Own Vulnerable Driver (BYOVD) pour désactiver les processus liés à la sécurité sur les hôtes Windows compromis. Cela l'aligne sur d'autres groupes tels que Akira, AvosLocker, BlackByte et RobbinHood.

Cette approche permet aux auteurs de menaces de mettre fin aux processus et services antivirus, facilitant ainsi le déploiement de ransomwares, selon une analyse réalisée mardi par Trend Micro. Découvert par la société de cybersécurité mi-décembre 2023, Kasseika partage des similitudes avec le désormais disparu BlackMatter, apparu après l'arrêt de DarkSide.

Kasseika aurait des liens avec BlackMatter

Certains éléments suggèrent que Kasseika pourrait être l'œuvre d'un acteur malveillant expérimenté qui a eu accès à BlackMatter, car le code source de ce dernier n'a pas été divulgué publiquement depuis sa disparition en novembre 2021.

Le processus d'attaque initié par Kasseika commence généralement par un e-mail de phishing pour l'accès initial. Par la suite, des outils d'administration à distance (RAT) sont déployés pour obtenir un accès privilégié et se déplacer latéralement au sein du réseau cible.

Les auteurs de la menace utilisent l'utilitaire de ligne de commande Sysinternals PsExec de Microsoft pour exécuter un script batch malveillant. Ce script vérifie l'existence d'un processus nommé "Martini.exe" et le termine s'il est trouvé, garantissant qu'une seule instance du processus s'exécute sur la machine.

Mode d'infection de Kasseika

L'exécutable "Martini.exe" télécharge et exécute le pilote "Martini.sys" à partir d'un serveur distant pour désactiver les outils de sécurité 991. Il convient de noter que « Martini.sys » est un pilote signé légitime nommé « viragt64.sys » que Microsoft a ajouté à sa liste de blocage des pilotes vulnérables.

Si « Martini.sys » n'est pas présent, le malware se termine de lui-même, soulignant le rôle crucial du conducteur dans l'évasion de la défense. Suite à cette étape, « Martini.exe » lance la charge utile du ransomware (« smartscreen_protected.exe »), qui utilise les algorithmes ChaCha20 et RSA pour le cryptage. Cela se produit après la fin de tous les processus et services accédant au Gestionnaire de redémarrage Windows.

Le ransomware laisse une note dans chaque répertoire crypté et modifie le fond d'écran de l'ordinateur en exigeant un paiement de 50 bitcoins dans les 72 heures. En cas de non-respect, vous risquez 500 000 $ supplémentaires toutes les 24 heures après la date limite. Les victimes doivent publier une capture d'écran de paiement sur un groupe Telegram contrôlé par un acteur pour recevoir un décrypteur.

Le ransomware Kasseika utilise des mesures supplémentaires, telles que l'effacement des journaux d'événements du système à l'aide du binaire wevtutil.exe, pour effacer les traces de son activité.