Kasseika Ransomware utilizza un metodo di infiltrazione avanzato

Il gruppo ransomware denominato Kasseika ha recentemente adottato la tecnica di attacco Bring Your Own Vulnerable Driver (BYOVD) per disabilitare i processi relativi alla sicurezza sugli host Windows compromessi. Questo lo allinea con altri gruppi come Akira, AvosLocker, BlackByte e RobbinHood.

Secondo un’analisi di Trend Micro di martedì, questo approccio consente agli autori delle minacce di terminare processi e servizi antivirus, facilitando la diffusione del ransomware. Scoperto dalla società di sicurezza informatica a metà dicembre 2023, Kasseika condivide somiglianze con l'ormai defunto BlackMatter, emerso dopo la chiusura di DarkSide.

Kasseika credeva di avere collegamenti con BlackMatter

Ci sono indicazioni che Kasseika potrebbe essere opera di un esperto hacker che ha avuto accesso a BlackMatter, poiché il codice sorgente di quest'ultimo non è stato divulgato pubblicamente dalla sua chiusura nel novembre 2021.

Il processo di attacco avviato da Kasseika inizia solitamente con un'e-mail di phishing per l'accesso iniziale. Successivamente, vengono implementati strumenti di amministrazione remota (RAT) per ottenere un accesso privilegiato e spostarsi lateralmente all'interno della rete di destinazione.

Gli autori delle minacce utilizzano l'utilità della riga di comando Sysinternals PsExec di Microsoft per eseguire uno script batch dannoso. Questo script verifica l'esistenza di un processo denominato "Martini.exe" e lo termina se trovato, garantendo che sulla macchina venga eseguita solo un'istanza del processo.

Modalità di infezione di Kasseika

L'eseguibile "Martini.exe" scarica ed esegue il driver "Martini.sys" da un server remoto per disabilitare gli strumenti di sicurezza 991. È interessante notare che "Martini.sys" è un driver firmato legittimo denominato "viragt64.sys" che Microsoft ha aggiunto alla sua lista bloccata di driver vulnerabili.

Nel caso in cui "Martini.sys" non sia presente, il malware termina da solo, sottolineando il ruolo cruciale del conducente nell'elusione della difesa. Dopo questo passaggio "Martini.exe" avvia il payload del ransomware ("smartscreen_protected.exe"), che utilizza gli algoritmi ChaCha20 e RSA per la crittografia. Ciò si verifica dopo aver terminato tutti i processi e i servizi che accedono a Windows Restart Manager.

Il ransomware lascia una nota in ogni directory crittografata e altera lo sfondo del computer richiedendo un pagamento di 50 bitcoin entro 72 ore. La mancata osservanza comporta il rischio di ulteriori 500.000 dollari ogni 24 ore dopo la scadenza. Le vittime sono tenute a pubblicare uno screenshot del pagamento su un gruppo Telegram controllato da attori per ricevere un decryptor.

Il ransomware Kasseika impiega misure aggiuntive, come la cancellazione dei registri eventi del sistema utilizzando il binario wevtutil.exe, per cancellare le tracce della sua attività.