El grupo de ransomware conocido como Kaseika se ha convertido en el último en aprovechar el ataque Bring Your Own Vulnerable Driver (BYOVD) para desarmar procesos relacionados con la seguridad en hosts de Windows comprometidos, uniéndose a otros grupos como akiraAvosLocker, BlackByte y RobbinHood.
La táctica permite a «los actores de amenazas finalizar los procesos y servicios antivirus para la implementación de ransomware», Trend Micro dicho en un análisis del martes.
kasseika, descubierto por primera vez Por la firma de ciberseguridad a mediados de diciembre de 2023, las exhibiciones se superponen con el ahora desaparecido BlackMatter, que surgió después del cierre de DarkSide.
Hay evidencia que sugiere que la cepa de ransomware podría ser obra de un actor de amenazas experimentado que adquirió o compró acceso a BlackMatter, dado que el código fuente de este último nunca se filtró públicamente después de su desaparición en noviembre de 2021.
Las cadenas de ataques que involucran a Kasseika comienzan con un correo electrónico de phishing para el acceso inicial, y posteriormente eliminan herramientas de administración remota (RAT) para obtener acceso privilegiado y moverse lateralmente dentro de la red de destino.
Se ha observado que los actores de amenazas utilizan la utilidad de línea de comandos Sysinternals PsExec de Microsoft para ejecutar un script por lotes malicioso, que verifica la existencia de un proceso llamado «Martini.exe» y, si lo encuentra, lo finaliza para garantizar que solo haya una instancia del proceso que ejecuta la máquina.
La principal responsabilidad del ejecutable es descargar y ejecutar el controlador «Martini.sys» desde un servidor remoto para desactivar 991 herramientas de seguridad. Vale la pena señalar que «Martini.sys» es un controlador legítimo firmado llamado «viragt64.sys» que se ha agregado al archivo de Microsoft. lista de bloqueo de controladores vulnerables.
«Si Martini.sys no existe, el malware se terminará solo y no continuará con la rutina prevista», dijeron los investigadores, indicando el papel crucial que desempeña el controlador en la evasión de la defensa.
Después de este paso, «Martini.exe» lanza la carga útil del ransomware («smartscreen_protected.exe»), que se encarga del proceso de cifrado utilizando los algoritmos ChaCha20 y RSA, no sin antes eliminar todos los procesos y servicios que acceden al Administrador de reinicio de Windows.
Luego se coloca una nota de rescate en cada directorio que ha cifrado y el fondo de pantalla de la computadora se modifica para mostrar una nota exigiendo un pago de 50 bitcoins a una dirección de billetera dentro de las 72 horas, o arriesgarse a pagar $500,000 adicionales cada 24 horas una vez que transcurra la fecha límite.
Además de eso, se espera que las víctimas publiquen una captura de pantalla del pago exitoso en un grupo de Telegram controlado por un actor para recibir un descifrador.
El ransomware Kasseika también tiene otros trucos bajo la manga, que incluyen borrar los rastros de la actividad borrando los registros de eventos del sistema usando el binario wevtutil.exe.
«El comando wevutil.exe borra eficientemente los registros de eventos de aplicaciones, seguridad y sistema en el sistema Windows», dijeron los investigadores. «Esta técnica se utiliza para operar discretamente, lo que dificulta que las herramientas de seguridad identifiquen y respondan a actividades maliciosas».
El desarrollo se produce cuando la Unidad 42 de Palo Alto Networks detalló el cambio del grupo de ransomware BianLian de un esquema de doble extorsión a ataques de extorsión sin cifrado luego del lanzamiento de un descifrador gratuito a principios de 2023.
BianLian ha sido un grupo de amenazas activo y predominante desde septiembre de 2022, destacando predominantemente los sectores de servicios médicos, manufactureros, profesionales y legales en EE. UU., Reino Unido, Canadá, India, Australia, Brasil, Egipto, Francia, Alemania y España.
Las credenciales robadas del Protocolo de escritorio remoto (RDP), las fallas de seguridad conocidas (por ejemplo, ProxyShell) y los shells web actúan como las rutas de ataque más comunes adoptadas por los operadores de BianLian para infiltrarse en las redes corporativas.
Es más, el equipo de cibercrimen comparte una herramienta personalizada basada en .NET con otro grupo de ransomware rastreado como Makop, lo que sugiere posibles conexiones entre los dos.
«Esta herramienta .NET es responsable de recuperar la enumeración de archivos, el registro y los datos del portapapeles», afirma el investigador de seguridad Daniel Frank. dicho en una nueva descripción general de BianLian.
«Esta herramienta contiene algunas palabras en idioma ruso, como los números del uno al cuatro. El uso de dicha herramienta indica que los dos grupos podrían haber compartido un conjunto de herramientas o haber utilizado los servicios de los mismos desarrolladores en el pasado».