Kasseika, attenzione al ransomware che usa l'antivirus per chiudere... l'antivirus

Kasseika, attenzione al ransomware che usa l'antivirus per chiudere... l'antivirus

Il ransomware, che ha attinenze con il famigerato BlackMatter/BlackCat/DarkSide, sfrutta un driver vulnerabile di un antivirus per chiudere i processi di soluzioni di monitoraggio e sicurezza e procedere poi a criptare i file

di pubblicata il , alle 15:41 nel canale Sicurezza
 

I ricercatori di sicurezza di Trend Micro hanno scoperto di recente un'operazione ransomware chiamata "Kasseika" che sfrutta una tecnica particolare chiamata BYOVD, cioè "Bring Your Own Vulnerable Driver", per neutralizzare l'antivirus prima di procedere con la cifratura dei file.

L'attacco condotto con Kasseika prende il via, come spesso accade nelle operazioni ransomware, con un'e-mail di phishing che viene inviata ai dipendenti della società presa di mira con l'obiettivo di sottrarre credenziali di account da utilizzare per l'accesso iniziale alla rete aziendale.

Una volta stabilita una presenza all'interno della rete, gli operatori di Kasseika sfruttano lo strumento PsExec di Windows per eseguire un file .bat dannoso sia sul sistema inizialmente compromesso, sia su altri sistemi a cui sono riusciti ad accedere muovendosi lateralmente sulla rete. 


La catena di attacco di Kasseika - Fonte: Trend Micro

Questo file verifica se sul sistema è presente un processo denominato "Martini.exe" e nel caso lo trovasse, lo chiude per evitare possibili interferenze avviando di seguito un nuovo processo Martini.exe sotto il controllo del malware. A questo punto viene scaricato il driver vulnerabile Martini.sys sulle macchine compromesse. Martini.sys fa parte dell'antivirus VirtIT Agent System di TG Soft. Questo passaggio è fondamentale nella catena di attacco perché se il driver non viene scaricato e installato, il malware arresterà la sua attività senza alcun esito. Trend Micro però non dettaglia oltre quali siano le vulnerabilità del driver sfruttate da Kasseika.

L'installazione e lo sfruttamento del driver vulnerabile consente al malware di appropriarsi dei permessi necessari per terminare i processi relativi ad antivirus, strumenti di sicurezza, soluzioni di monitoraggi ed analisi: i nomi dei processi sono presenti all'interno di un elenco codificato nel malware. Una volta che i processi necessari sono stati terminati, il malware avvia l'eseguibile principale per la crittografia dei file ed esegue successivamente uno script per eliminare le tracce dell'attacco.

L'analisi di Trend Micro ha inoltre rivelato che Kasseika fa uso degli algoritmi crittografici ChaCha20 e RSA per la cifratura dei file, con l'aggiunta di una stringa pseudo-casuale ai nomi dei file. Questo modus operandi è simile a quanto riscontrato con il famigerato BlackMatter (DarkSide, ALPHV, BlackCat).

Il malware inserisce una richiesta di riscatto in ogni cartella crittografata oltre a modificare lo sfondo del desktop per meglio notificare l'attacco all'utente. Come ultima operazione Kasseika elimina i registri degli eventi di sistema dopo le operazioni di crittografia, ancora una volta per eliminare tutte le tracce della sua attività nel tentativo di rendere più difficoltosa le operazioni di analisi dell'accaduto.

Negli episodi di attacco osservati da Trend Micro la richiesta di riscatto è di 50 Bitcoin (circa 2 milioni di dollari) da pagare entro 72 ore: ogni 24 ore di ritardo costano altri 500 mila dollari. Le vittime devono pubblicare uno screenshot dell'avvenuto pagamento su un gruppo Telegram privato così da ricevere lo strumento di decrypting. Il termine massimo è fissato a 120 ore.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
WarSide24 Gennaio 2024, 16:12 #1
Basta rinominare Martini.exe in Aperol.exe e si risolve il problema.
UtenteHD24 Gennaio 2024, 16:28 #2
Grazie mille per articolo molto interessante, la sicurezza PC e' vitale.
La cosa che non mi e' chiara e' quale tipologia di Antivirus venga disattivata, li disattiva tutti, proprio tutti e non mi sembra fattibile ma non impossibile, oppure ne disattiva solo alcuni oppure cosa sicura disattiva Windows Defender che e' preinstallato e facilmente preso di mira e sfruttato.
Pascas25 Gennaio 2024, 09:48 #3
Originariamente inviato da: UtenteHD
La cosa che non mi e' chiara e' quale tipologia di Antivirus venga disattivata, li disattiva tutti, proprio tutti e non mi sembra fattibile ma non impossibile, oppure ne disattiva solo alcuni...


C'è scritto -> "i nomi dei processi sono presenti all'interno di un elenco codificato nel malware"

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^