Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Kasseika Ransomware utiliza el truco BYOVD para desarmar el cifrado previo de seguridad
  • Tecnología

Kasseika Ransomware utiliza el truco BYOVD para desarmar el cifrado previo de seguridad

teknomers 24 de Ocak de 2024 (Last updated: 24 de Ocak de 2024) 5 minutes read
Kasseika Ransomware utiliza el truco BYOVD para desarmar el cifrado


El grupo de ransomware conocido como Kaseika se ha convertido en el último en aprovechar el ataque Bring Your Own Vulnerable Driver (BYOVD) para desarmar procesos relacionados con la seguridad en hosts de Windows comprometidos, uniéndose a otros grupos como akiraAvosLocker, BlackByte y RobbinHood.

La táctica permite a “los actores de amenazas finalizar los procesos y servicios antivirus para la implementación de ransomware”, Trend Micro dicho en un análisis del martes.

kasseika, descubierto por primera vez Por la firma de ciberseguridad a mediados de diciembre de 2023, las exhibiciones se superponen con el ahora desaparecido BlackMatter, que surgió después del cierre de DarkSide.

Hay evidencia que sugiere que la cepa de ransomware podría ser obra de un actor de amenazas experimentado que adquirió o compró acceso a BlackMatter, dado que el código fuente de este último nunca se filtró públicamente después de su desaparición en noviembre de 2021.

La seguridad cibernética

Las cadenas de ataques que involucran a Kasseika comienzan con un correo electrónico de phishing para el acceso inicial, y posteriormente eliminan herramientas de administración remota (RAT) para obtener acceso privilegiado y moverse lateralmente dentro de la red de destino.

Se ha observado que los actores de amenazas utilizan la utilidad de línea de comandos Sysinternals PsExec de Microsoft para ejecutar un script por lotes malicioso, que verifica la existencia de un proceso llamado “Martini.exe” y, si lo encuentra, lo finaliza para garantizar que solo haya una instancia del proceso que ejecuta la máquina.

La principal responsabilidad del ejecutable es descargar y ejecutar el controlador “Martini.sys” desde un servidor remoto para desactivar 991 herramientas de seguridad. Vale la pena señalar que “Martini.sys” es un controlador legítimo firmado llamado “viragt64.sys” que se ha agregado al archivo de Microsoft. lista de bloqueo de controladores vulnerables.

“Si Martini.sys no existe, el malware se terminará solo y no continuará con la rutina prevista”, dijeron los investigadores, indicando el papel crucial que desempeña el controlador en la evasión de la defensa.

Después de este paso, “Martini.exe” lanza la carga útil del ransomware (“smartscreen_protected.exe”), que se encarga del proceso de cifrado utilizando los algoritmos ChaCha20 y RSA, no sin antes eliminar todos los procesos y servicios que acceden al Administrador de reinicio de Windows.

Luego se coloca una nota de rescate en cada directorio que ha cifrado y el fondo de pantalla de la computadora se modifica para mostrar una nota exigiendo un pago de 50 bitcoins a una dirección de billetera dentro de las 72 horas, o arriesgarse a pagar $500,000 adicionales cada 24 horas una vez que transcurra la fecha límite.

Además de eso, se espera que las víctimas publiquen una captura de pantalla del pago exitoso en un grupo de Telegram controlado por un actor para recibir un descifrador.

La seguridad cibernética

El ransomware Kasseika también tiene otros trucos bajo la manga, que incluyen borrar los rastros de la actividad borrando los registros de eventos del sistema usando el binario wevtutil.exe.

“El comando wevutil.exe borra eficientemente los registros de eventos de aplicaciones, seguridad y sistema en el sistema Windows”, dijeron los investigadores. “Esta técnica se utiliza para operar discretamente, lo que dificulta que las herramientas de seguridad identifiquen y respondan a actividades maliciosas”.

El desarrollo se produce cuando la Unidad 42 de Palo Alto Networks detalló el cambio del grupo de ransomware BianLian de un esquema de doble extorsión a ataques de extorsión sin cifrado luego del lanzamiento de un descifrador gratuito a principios de 2023.

BianLian ha sido un grupo de amenazas activo y predominante desde septiembre de 2022, destacando predominantemente los sectores de servicios médicos, manufactureros, profesionales y legales en EE. UU., Reino Unido, Canadá, India, Australia, Brasil, Egipto, Francia, Alemania y España.

Las credenciales robadas del Protocolo de escritorio remoto (RDP), las fallas de seguridad conocidas (por ejemplo, ProxyShell) y los shells web actúan como las rutas de ataque más comunes adoptadas por los operadores de BianLian para infiltrarse en las redes corporativas.

Es más, el equipo de cibercrimen comparte una herramienta personalizada basada en .NET con otro grupo de ransomware rastreado como Makop, lo que sugiere posibles conexiones entre los dos.

“Esta herramienta .NET es responsable de recuperar la enumeración de archivos, el registro y los datos del portapapeles”, afirma el investigador de seguridad Daniel Frank. dicho en una nueva descripción general de BianLian.

“Esta herramienta contiene algunas palabras en idioma ruso, como los números del uno al cuatro. El uso de dicha herramienta indica que los dos grupos podrían haber compartido un conjunto de herramientas o haber utilizado los servicios de los mismos desarrolladores en el pasado”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Anja y Michael convirtieron su autobús en una sala de sal curativa
Next: Condé Nast: los empleados se declaran en huelga por los despidos

Related Stories

Para su primera fachada Steam Machine, JSAUX pide a los
  • Tecnología

Para su primera fachada Steam Machine, JSAUX pide a los jugadores que elijan

teknomers 12 de Temmuz de 2026
Juez y parte, el P.-D.G. de SK Hynix anuncia un
  • Tecnología

Juez y parte, el P.-D.G. de SK Hynix anuncia un año horribilis para la DRAM en 2027

teknomers 12 de Temmuz de 2026
Ofertas de verano: la patineta eléctrica iScooter iX4 baja a
  • Tecnología

Ofertas de verano: la patineta eléctrica iScooter iX4 baja a 339,99€ en Teknomers

teknomers 12 de Temmuz de 2026

You May Have Missed

Para su primera fachada Steam Machine, JSAUX pide a los
  • Tecnología

Para su primera fachada Steam Machine, JSAUX pide a los jugadores que elijan

teknomers 12 de Temmuz de 2026
Seine-et-Marne: un incendio corta la A6, se movilizan bombers de
  • Entretenimiento

Seine-et-Marne: un incendio corta la A6, se movilizan bombers de agua del sur de Francia

teknomers 12 de Temmuz de 2026
  • General

Cuando Graham criticó a Zuckerberg por la explotación infantil en Meta: ‘Tienes sangre en las manos’ | MIRA – Teknomers

teknomers 12 de Temmuz de 2026
  • Deporte

Wimbledon 2026: Entrevista posterior al partido de Jannik Sinner tras vencer a Alexander Zverev y retener su título en Wimbledon

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.