Le groupe de ransomwares connu sous le nom de Kasse\u00efka<\/strong> est devenu le dernier \u00e0 tirer parti de l’attaque Bring Your Own Vulnerable Driver (BYOVD) pour d\u00e9sarmer les processus li\u00e9s \u00e0 la s\u00e9curit\u00e9 sur les h\u00f4tes Windows compromis, rejoignant ainsi d’autres groupes comme Akira<\/a>AvosLocker, BlackByte et RobbinHood.<\/p>\n Cette tactique permet aux \u00ab acteurs malveillants de mettre fin aux processus et services antivirus pour le d\u00e9ploiement de ransomwares \u00bb, selon Trend Micro. dit<\/a> dans une analyse de mardi.<\/p>\n Kass\u00e9ika, d\u00e9couvert pour la premi\u00e8re fois<\/a> par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 \u00e0 la mi-d\u00e9cembre 2023, pr\u00e9sente des chevauchements avec BlackMatter, aujourd’hui disparu, qui a \u00e9merg\u00e9 \u00e0 la suite de la fermeture de DarkSide.<\/p>\n Il existe des preuves sugg\u00e9rant que la souche du ransomware pourrait \u00eatre l’\u0153uvre d’un acteur malveillant exp\u00e9riment\u00e9 qui a acquis ou achet\u00e9 l’acc\u00e8s \u00e0 BlackMatter, \u00e9tant donn\u00e9 que le code source de ce dernier n’a jamais \u00e9t\u00e9 divulgu\u00e9 publiquement apr\u00e8s sa disparition en novembre 2021.<\/p>\n Les cha\u00eenes d’attaque impliquant Kasseika commencent par un e-mail de phishing pour l’acc\u00e8s initial, puis abandonnent les outils d’administration \u00e0 distance (RAT) pour obtenir un acc\u00e8s privil\u00e9gi\u00e9 et se d\u00e9placer lat\u00e9ralement au sein du r\u00e9seau cible.<\/p>\n Les auteurs de la menace ont \u00e9t\u00e9 observ\u00e9s en train d’utiliser l’utilitaire de ligne de commande Sysinternals PsExec de Microsoft pour ex\u00e9cuter un script batch malveillant, qui v\u00e9rifie l’existence d’un processus nomm\u00e9 \u00ab Martini.exe \u00bb et, s’il est trouv\u00e9, l’arr\u00eate pour s’assurer qu’il n’y a qu’une seule instance du processus. processus ex\u00e9cutant la machine.<\/p>\n La principale responsabilit\u00e9 de l’ex\u00e9cutable est de t\u00e9l\u00e9charger et d’ex\u00e9cuter le pilote “Martini.sys” depuis un serveur distant afin de d\u00e9sactiver les outils de s\u00e9curit\u00e9 991. Il convient de noter que \u00ab Martini.sys \u00bb est un pilote sign\u00e9 l\u00e9gitime nomm\u00e9 \u00ab viragt64.sys \u00bb qui a \u00e9t\u00e9 ajout\u00e9 au pilote Microsoft. liste de blocage des pilotes vuln\u00e9rables<\/a>.<\/p>\n “Si Martini.sys n’existe pas, le malware se terminera de lui-m\u00eame et ne poursuivra pas sa routine pr\u00e9vue”, ont d\u00e9clar\u00e9 les chercheurs, soulignant le r\u00f4le crucial jou\u00e9 par le conducteur dans l’\u00e9vasion de la d\u00e9fense.<\/p>\n Suite \u00e0 cette \u00e9tape, \u00ab Martini.exe \u00bb lance la charge utile du ransomware (\u00ab smartscreen_protected.exe \u00bb), qui prend en charge le processus de cryptage \u00e0 l’aide des algorithmes ChaCha20 et RSA, mais pas avant de tuer tous les processus et services qui acc\u00e8dent au gestionnaire de red\u00e9marrage Windows.<\/p>\n Une demande de ran\u00e7on est ensuite d\u00e9pos\u00e9e dans chaque r\u00e9pertoire chiffr\u00e9 et le fond d’\u00e9cran de l’ordinateur est modifi\u00e9 pour afficher une note exigeant un paiement de 50 bitcoins \u00e0 une adresse de portefeuille dans les 72 heures, sous peine de risquer de payer 500 000 $ suppl\u00e9mentaires toutes les 24 heures une fois le d\u00e9lai \u00e9coul\u00e9.<\/p>\n En plus de cela, les victimes devraient publier une capture d’\u00e9cran du paiement r\u00e9ussi \u00e0 un groupe Telegram contr\u00f4l\u00e9 par un acteur pour recevoir un d\u00e9crypteur.<\/p>\n Le ransomware Kasseika a \u00e9galement d’autres astuces dans son sac, notamment l’effacement des traces de l’activit\u00e9 en effa\u00e7ant les journaux d’\u00e9v\u00e9nements du syst\u00e8me \u00e0 l’aide du binaire wevtutil.exe.<\/p>\n “La commande wevutil.exe efface efficacement les journaux d’\u00e9v\u00e9nements des applications, de la s\u00e9curit\u00e9 et du syst\u00e8me sur le syst\u00e8me Windows”, ont indiqu\u00e9 les chercheurs. “Cette technique est utilis\u00e9e pour fonctionner discr\u00e8tement, ce qui rend plus difficile pour les outils de s\u00e9curit\u00e9 d’identifier et de r\u00e9pondre aux activit\u00e9s malveillantes.”<\/p>\n Ce d\u00e9veloppement intervient alors que l’unit\u00e9 42 de Palo Alto Networks a d\u00e9taill\u00e9 le passage du groupe de ransomwares BianLian d’un syst\u00e8me de double extorsion \u00e0 des attaques d’extorsion sans cryptage suite \u00e0 la sortie d’un d\u00e9crypteur gratuit d\u00e9but 2023.<\/p>\n BianLian est un groupe de menace actif et r\u00e9pandu depuis septembre 2022, ciblant principalement les secteurs de la sant\u00e9, de l’industrie manufacturi\u00e8re, des services professionnels et juridiques aux \u00c9tats-Unis, au Royaume-Uni, au Canada, en Inde, en Australie, au Br\u00e9sil, en \u00c9gypte, en France, en Allemagne et en Espagne.<\/p>\n Les identifiants RDP (Remote Desktop Protocol) vol\u00e9s, les failles de s\u00e9curit\u00e9 connues (par exemple ProxyShell) et les shells Web constituent les voies d’attaque les plus courantes adopt\u00e9es par les op\u00e9rateurs BianLian pour infiltrer les r\u00e9seaux d’entreprise.<\/p>\n De plus, l’\u00e9quipe de cybercriminalit\u00e9 partage un outil personnalis\u00e9 bas\u00e9 sur .NET avec un autre groupe de ransomware suivi sous le nom de Makop, sugg\u00e9rant des liens potentiels entre les deux.<\/p>\n “Cet outil .NET est charg\u00e9 de r\u00e9cup\u00e9rer les donn\u00e9es de l’\u00e9num\u00e9ration des fichiers, du registre et du presse-papiers”, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Daniel Frank. dit<\/a> dans un nouvel aper\u00e7u de BianLian.<\/p>\n “Cet outil contient des mots en langue russe, tels que les chiffres de un \u00e0 quatre. L’utilisation d’un tel outil indique que les deux groupes pourraient avoir partag\u00e9 un ensemble d’outils ou utilis\u00e9 les services des m\u00eames d\u00e9veloppeurs dans le pass\u00e9.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Kasseika-Ransomware-utilise-lastuce-BYOVD-pour-desarmer-le-pre-cryptage-de.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n