Kasseika ransomware
El grupo de ransomware llamado Kasseika adoptó recientemente el método de ataque Bring Your Own Vulnerable Driver (BYOVD) para neutralizar los procesos de seguridad en sistemas Windows comprometidos. Este enfoque alinea a Kasseika con otros grupos como Akira , AvosLocker, BlackByte y RobbinHood , que también emplean la técnica BYOVD para desactivar procesos y servicios antimalware, facilitando la implementación de ransomware.
Identificado inicialmente por expertos en ciberseguridad a mediados de diciembre de 2023, Kasseika comparte similitudes con el grupo BlackMatter , ahora disuelto, que surgió tras el cierre de DarkSide . Hay indicios que sugieren que la variante de ransomware asociada con Kasseika puede ser el resultado de que un actor de amenazas experimentado obtenga acceso o compre activos de BlackMatter. Esta especulación surge del hecho de que el código fuente de BlackMatter no se ha divulgado públicamente desde su desaparición en noviembre de 2021.
Tabla de contenido
Vectores de ataque utilizados para infectar dispositivos con Kasseika Ransomware
Las secuencias de ataque de Kasseika comienzan con un correo electrónico de phishing diseñado para el acceso inicial, seguido del despliegue de herramientas de acceso remoto (RAT) para adquirir una entrada privilegiada y navegar lateralmente dentro de la red objetivo. En particular, se ha observado que los actores de amenazas dentro de esta campaña emplean la utilidad de línea de comandos Sysinternals PsExec de Microsoft para ejecutar secuencias de comandos por lotes no seguras. Este script comprueba la presencia de un proceso llamado 'Martini.exe' y, si lo detecta, lo finaliza para garantizar que solo se ejecute una instancia del proceso en la máquina.
La función principal del ejecutable 'Martini.exe' es descargar y ejecutar el controlador 'Martini.sys' desde un servidor remoto. Este controlador es responsable de deshabilitar las herramientas de seguridad 991. Es pertinente mencionar que 'Martini.sys' es un controlador firmado legítimamente con el nombre 'viragt64.sys', pero se ha incluido en la lista de bloqueo de controladores vulnerables de Microsoft. Si no se encuentra 'Martini.sys', el malware se termina solo, evitando su posterior ejecución.
Después de esta fase, 'Martini.exe' inicia la ejecución de la carga útil del ransomware, 'smartscreen_protected.exe', responsable del proceso de cifrado mediante los algoritmos ChaCha20 y RSA. Sin embargo, antes de comenzar el cifrado, finaliza todos los procesos y servicios asociados con el Administrador de reinicio de Windows.
El ransomware Kasseika exige pagos de rescate exorbitantes a las víctimas
Después del cifrado, se deposita una nota de rescate en cada directorio afectado, acompañada de una modificación del fondo de pantalla de la computadora que muestra una solicitud de pago de 50 bitcoins a una dirección de billetera específica. La estipulación es realizar el pago dentro de las 72 horas; de lo contrario, existe la amenaza de incurrir en un cargo adicional de $500,000 cada 24 horas una vez que expire el plazo.
Además, las víctimas deben compartir una captura de pantalla que confirme el pago exitoso en un grupo de Telegram controlado por un actor para recibir la herramienta de descifrado.
El Kasseika Ransomware está equipado con amplias capacidades amenazadoras
Además de sus funciones principales, Kasseika Ransomware emplea tácticas adicionales para cubrir sus huellas. Una de esas técnicas implica borrar rastros de sus actividades utilizando el binario wevtutil.exe para borrar los registros de eventos del sistema. Este comando borra de manera eficiente los registros de eventos de aplicaciones, seguridad y sistema en el sistema Windows. Al emplear este método, el ransomware opera de manera discreta, lo que aumenta la dificultad para que las herramientas de seguridad detecten y respondan a actividades maliciosas.
La demanda de rescate presentada por Kasseika Ransomware a las víctimas dice:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
