Kasseika Ransomware usa método de infiltração avançado

O grupo de ransomware chamado Kasseika adotou recentemente a técnica de ataque Traga seu próprio driver vulnerável (BYOVD) para desabilitar processos relacionados à segurança em hosts Windows comprometidos. Isso o alinha com outros grupos como Akira, AvosLocker, BlackByte e RobbinHood.

Esta abordagem permite que os agentes de ameaças encerrem processos e serviços antivírus, facilitando a implantação de ransomware, de acordo com uma análise da Trend Micro na terça-feira. Descoberto pela empresa de segurança cibernética em meados de dezembro de 2023, Kasseika compartilha semelhanças com o agora extinto BlackMatter, que surgiu após o encerramento do DarkSide.

Kasseika acredita ter links para BlackMatter

Há indicações de que Kasseika pode ser obra de um ator de ameaça experiente que obteve acesso ao BlackMatter, já que o código-fonte deste último não vazou publicamente desde seu desaparecimento em novembro de 2021.

O processo de ataque iniciado pelo Kasseika normalmente começa com um e-mail de phishing para acesso inicial. Posteriormente, ferramentas de administração remota (RATs) são implantadas para obter acesso privilegiado e mover-se lateralmente dentro da rede alvo.

Os agentes da ameaça usam o utilitário de linha de comando Sysinternals PsExec da Microsoft para executar um script em lote malicioso. Este script verifica a existência de um processo chamado “Martini.exe” e o encerra se for encontrado, garantindo que apenas uma instância do processo seja executada na máquina.

Modo de infecção de Kasseika

O executável “Martini.exe” baixa e executa o driver “Martini.sys” de um servidor remoto para desativar as ferramentas de segurança 991. Vale ressaltar que “Martini.sys” é um driver legítimo assinado chamado “viragt64.sys” que a Microsoft adicionou à sua lista de bloqueio de drivers vulneráveis.

Caso “Martini.sys” não esteja presente, o malware se encerra sozinho, ressaltando o papel crucial do driver na evasão da defesa. Após esta etapa, "Martini.exe" inicia a carga útil do ransomware ("smartscreen_protected.exe"), que usa algoritmos ChaCha20 e RSA para criptografia. Isso ocorre após encerrar todos os processos e serviços que acessam o Gerenciador de Reinicialização do Windows.

O ransomware deixa uma nota em cada diretório criptografado e altera o papel de parede do computador exigindo um pagamento de 50 bitcoins em 72 horas. O não cumprimento corre o risco de um adicional de US$ 500.000 a cada 24 horas após o prazo. As vítimas são obrigadas a postar uma captura de tela do pagamento em um grupo do Telegram controlado pelo ator para receber um descriptografador.

O ransomware Kasseika emprega medidas adicionais, como limpar os logs de eventos do sistema usando o binário wevtutil.exe, para apagar rastros de sua atividade.