{"id":1150807,"date":"2024-01-24T18:59:07","date_gmt":"2024-01-24T18:59:07","guid":{"rendered":"https:\/\/teknomers.com\/es\/kasseika-ransomware-utiliza-el-truco-byovd-para-desarmar-el-cifrado-previo-de-seguridad\/"},"modified":"2024-01-24T18:59:11","modified_gmt":"2024-01-24T18:59:11","slug":"kasseika-ransomware-utiliza-el-truco-byovd-para-desarmar-el-cifrado-previo-de-seguridad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/kasseika-ransomware-utiliza-el-truco-byovd-para-desarmar-el-cifrado-previo-de-seguridad\/","title":{"rendered":"Kasseika Ransomware utiliza el truco BYOVD para desarmar el cifrado previo de seguridad"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Kasseika-Ransomware-utiliza-el-truco-BYOVD-para-desarmar-el-cifrado.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El grupo de ransomware conocido como <strong>Kaseika<\/strong> se ha convertido en el \u00faltimo en aprovechar el ataque Bring Your Own Vulnerable Driver (BYOVD) para desarmar procesos relacionados con la seguridad en hosts de Windows comprometidos, uni\u00e9ndose a otros grupos como <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/vinfo\/ph\/security\/news\/ransomware-spotlight\/ransomware-spotlight-akira\" target=\"_blank\">akira<\/a>AvosLocker, BlackByte y RobbinHood.<\/p>\n<p>La t\u00e1ctica permite a &#8220;los actores de amenazas finalizar los procesos y servicios antivirus para la implementaci\u00f3n de ransomware&#8221;, Trend Micro <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/a\/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis del martes.<\/p>\n<p>kasseika, <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/TrendMicroRSRCH\/status\/1735509992571040141\" target=\"_blank\">descubierto por primera vez<\/a> Por la firma de ciberseguridad a mediados de diciembre de 2023, las exhibiciones se superponen con el ahora desaparecido BlackMatter, que surgi\u00f3 despu\u00e9s del cierre de DarkSide.<\/p>\n<p>Hay evidencia que sugiere que la cepa de ransomware podr\u00eda ser obra de un actor de amenazas experimentado que adquiri\u00f3 o compr\u00f3 acceso a BlackMatter, dado que el c\u00f3digo fuente de este \u00faltimo nunca se filtr\u00f3 p\u00fablicamente despu\u00e9s de su desaparici\u00f3n en noviembre de 2021.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Los-ataques-DDoS-a-la-industria-de-servicios-medioambientales-aumentaran.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Las cadenas de ataques que involucran a Kasseika comienzan con un correo electr\u00f3nico de phishing para el acceso inicial, y posteriormente eliminan herramientas de administraci\u00f3n remota (RAT) para obtener acceso privilegiado y moverse lateralmente dentro de la red de destino.<\/p>\n<p>Se ha observado que los actores de amenazas utilizan la utilidad de l\u00ednea de comandos Sysinternals PsExec de Microsoft para ejecutar un script por lotes malicioso, que verifica la existencia de un proceso llamado &#8220;Martini.exe&#8221; y, si lo encuentra, lo finaliza para garantizar que solo haya una instancia del proceso que ejecuta la m\u00e1quina.<\/p>\n<p>La principal responsabilidad del ejecutable es descargar y ejecutar el controlador &#8220;Martini.sys&#8221; desde un servidor remoto para desactivar 991 herramientas de seguridad.  Vale la pena se\u00f1alar que &#8220;Martini.sys&#8221; es un controlador leg\u00edtimo firmado llamado &#8220;viragt64.sys&#8221; que se ha agregado al archivo de Microsoft. <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/application-security\/application-control\/windows-defender-application-control\/design\/microsoft-recommended-driver-block-rules\" target=\"_blank\">lista de bloqueo de controladores vulnerables<\/a>.<\/p>\n<p>&#8220;Si Martini.sys no existe, el malware se terminar\u00e1 solo y no continuar\u00e1 con la rutina prevista&#8221;, dijeron los investigadores, indicando el papel crucial que desempe\u00f1a el controlador en la evasi\u00f3n de la defensa.<\/p>\n<p>Despu\u00e9s de este paso, &#8220;Martini.exe&#8221; lanza la carga \u00fatil del ransomware (&#8220;smartscreen_protected.exe&#8221;), que se encarga del proceso de cifrado utilizando los algoritmos ChaCha20 y RSA, no sin antes eliminar todos los procesos y servicios que acceden al Administrador de reinicio de Windows.<\/p>\n<p>Luego se coloca una nota de rescate en cada directorio que ha cifrado y el fondo de pantalla de la computadora se modifica para mostrar una nota exigiendo un pago de 50 bitcoins a una direcci\u00f3n de billetera dentro de las 72 horas, o arriesgarse a pagar $500,000 adicionales cada 24 horas una vez que transcurra la fecha l\u00edmite.<\/p>\n<p>Adem\u00e1s de eso, se espera que las v\u00edctimas publiquen una captura de pantalla del pago exitoso en un grupo de Telegram controlado por un actor para recibir un descifrador.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Nuevo-JinxLoader-dirigido-a-usuarios-con-malware-Formbook-y-XLoader.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El ransomware Kasseika tambi\u00e9n tiene otros trucos bajo la manga, que incluyen borrar los rastros de la actividad borrando los registros de eventos del sistema usando el binario wevtutil.exe.<\/p>\n<p>&#8220;El comando wevutil.exe borra eficientemente los registros de eventos de aplicaciones, seguridad y sistema en el sistema Windows&#8221;, dijeron los investigadores.  &#8220;Esta t\u00e9cnica se utiliza para operar discretamente, lo que dificulta que las herramientas de seguridad identifiquen y respondan a actividades maliciosas&#8221;.<\/p>\n<p>El desarrollo se produce cuando la Unidad 42 de Palo Alto Networks detall\u00f3 el cambio del grupo de ransomware BianLian de un esquema de doble extorsi\u00f3n a ataques de extorsi\u00f3n sin cifrado luego del lanzamiento de un descifrador gratuito a principios de 2023.<\/p>\n<p>BianLian ha sido un grupo de amenazas activo y predominante desde septiembre de 2022, destacando predominantemente los sectores de servicios m\u00e9dicos, manufactureros, profesionales y legales en EE. UU., Reino Unido, Canad\u00e1, India, Australia, Brasil, Egipto, Francia, Alemania y Espa\u00f1a.<\/p>\n<p>Las credenciales robadas del Protocolo de escritorio remoto (RDP), las fallas de seguridad conocidas (por ejemplo, ProxyShell) y los shells web act\u00faan como las rutas de ataque m\u00e1s comunes adoptadas por los operadores de BianLian para infiltrarse en las redes corporativas.<\/p>\n<p>Es m\u00e1s, el equipo de cibercrimen comparte una herramienta personalizada basada en .NET con otro grupo de ransomware rastreado como Makop, lo que sugiere posibles conexiones entre los dos.<\/p>\n<p>&#8220;Esta herramienta .NET es responsable de recuperar la enumeraci\u00f3n de archivos, el registro y los datos del portapapeles&#8221;, afirma el investigador de seguridad Daniel Frank. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/bianlian-ransomware-group-threat-assessment\/\" target=\"_blank\">dicho<\/a> en una nueva descripci\u00f3n general de BianLian.<\/p>\n<p>&#8220;Esta herramienta contiene algunas palabras en idioma ruso, como los n\u00fameros del uno al cuatro. El uso de dicha herramienta indica que los dos grupos podr\u00edan haber compartido un conjunto de herramientas o haber utilizado los servicios de los mismos desarrolladores en el pasado&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/kasseika-ransomware-using-byovd-trick.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El grupo de ransomware conocido como Kaseika se ha convertido en el \u00faltimo en aprovechar el ataque Bring<\/p>\n","protected":false},"author":1,"featured_media":1150808,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,158539,8779,4664,104095,4662,227186,4668,201033,4654,201031,4659,4653,4655,18,13926,4883,42,4666,4665,201032,9625,6984,4660],"class_list":["post-1150807","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-byovd","tag-cifrado","tag-como-hackear","tag-desarmar","tag-filtracion-de-datos","tag-kasseika","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-previo","tag-ransomware","tag-seguridad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-truco","tag-utiliza","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1150807","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1150807"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1150807\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1150808"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1150807"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1150807"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1150807"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}