Le groupe de ransomwares connu sous le nom de Kasseïka est devenu le dernier à tirer parti de l’attaque Bring Your Own Vulnerable Driver (BYOVD) pour désarmer les processus liés à la sécurité sur les hôtes Windows compromis, rejoignant ainsi d’autres groupes comme AkiraAvosLocker, BlackByte et RobbinHood.
Cette tactique permet aux « acteurs malveillants de mettre fin aux processus et services antivirus pour le déploiement de ransomwares », selon Trend Micro. dit dans une analyse de mardi.
Kasséika, découvert pour la première fois par la société de cybersécurité à la mi-décembre 2023, présente des chevauchements avec BlackMatter, aujourd’hui disparu, qui a émergé à la suite de la fermeture de DarkSide.
Il existe des preuves suggérant que la souche du ransomware pourrait être l’œuvre d’un acteur malveillant expérimenté qui a acquis ou acheté l’accès à BlackMatter, étant donné que le code source de ce dernier n’a jamais été divulgué publiquement après sa disparition en novembre 2021.
Les chaînes d’attaque impliquant Kasseika commencent par un e-mail de phishing pour l’accès initial, puis abandonnent les outils d’administration à distance (RAT) pour obtenir un accès privilégié et se déplacer latéralement au sein du réseau cible.
Les auteurs de la menace ont été observés en train d’utiliser l’utilitaire de ligne de commande Sysinternals PsExec de Microsoft pour exécuter un script batch malveillant, qui vérifie l’existence d’un processus nommé « Martini.exe » et, s’il est trouvé, l’arrête pour s’assurer qu’il n’y a qu’une seule instance du processus. processus exécutant la machine.
La principale responsabilité de l’exécutable est de télécharger et d’exécuter le pilote « Martini.sys » depuis un serveur distant afin de désactiver les outils de sécurité 991. Il convient de noter que « Martini.sys » est un pilote signé légitime nommé « viragt64.sys » qui a été ajouté au pilote Microsoft. liste de blocage des pilotes vulnérables.
« Si Martini.sys n’existe pas, le malware se terminera de lui-même et ne poursuivra pas sa routine prévue », ont déclaré les chercheurs, soulignant le rôle crucial joué par le conducteur dans l’évasion de la défense.
Suite à cette étape, « Martini.exe » lance la charge utile du ransomware (« smartscreen_protected.exe »), qui prend en charge le processus de cryptage à l’aide des algorithmes ChaCha20 et RSA, mais pas avant de tuer tous les processus et services qui accèdent au gestionnaire de redémarrage Windows.
Une demande de rançon est ensuite déposée dans chaque répertoire chiffré et le fond d’écran de l’ordinateur est modifié pour afficher une note exigeant un paiement de 50 bitcoins à une adresse de portefeuille dans les 72 heures, sous peine de risquer de payer 500 000 $ supplémentaires toutes les 24 heures une fois le délai écoulé.
En plus de cela, les victimes devraient publier une capture d’écran du paiement réussi à un groupe Telegram contrôlé par un acteur pour recevoir un décrypteur.
Le ransomware Kasseika a également d’autres astuces dans son sac, notamment l’effacement des traces de l’activité en effaçant les journaux d’événements du système à l’aide du binaire wevtutil.exe.
« La commande wevutil.exe efface efficacement les journaux d’événements des applications, de la sécurité et du système sur le système Windows », ont indiqué les chercheurs. « Cette technique est utilisée pour fonctionner discrètement, ce qui rend plus difficile pour les outils de sécurité d’identifier et de répondre aux activités malveillantes. »
Ce développement intervient alors que l’unité 42 de Palo Alto Networks a détaillé le passage du groupe de ransomwares BianLian d’un système de double extorsion à des attaques d’extorsion sans cryptage suite à la sortie d’un décrypteur gratuit début 2023.
BianLian est un groupe de menace actif et répandu depuis septembre 2022, ciblant principalement les secteurs de la santé, de l’industrie manufacturière, des services professionnels et juridiques aux États-Unis, au Royaume-Uni, au Canada, en Inde, en Australie, au Brésil, en Égypte, en France, en Allemagne et en Espagne.
Les identifiants RDP (Remote Desktop Protocol) volés, les failles de sécurité connues (par exemple ProxyShell) et les shells Web constituent les voies d’attaque les plus courantes adoptées par les opérateurs BianLian pour infiltrer les réseaux d’entreprise.
De plus, l’équipe de cybercriminalité partage un outil personnalisé basé sur .NET avec un autre groupe de ransomware suivi sous le nom de Makop, suggérant des liens potentiels entre les deux.
« Cet outil .NET est chargé de récupérer les données de l’énumération des fichiers, du registre et du presse-papiers », a déclaré le chercheur en sécurité Daniel Frank. dit dans un nouvel aperçu de BianLian.
« Cet outil contient des mots en langue russe, tels que les chiffres de un à quatre. L’utilisation d’un tel outil indique que les deux groupes pourraient avoir partagé un ensemble d’outils ou utilisé les services des mêmes développeurs dans le passé. »