El grupo de ransomware conocido como Kasseika se ha convertido en el último en aprovechar el ataque Bring Your Own Vulnerable Driver ( BYOVD ) para desarmar procesos relacionados con la seguridad en hosts de Windows comprometidos, uniéndose a otros grupos como Akira , AvosLocker, BlackByte y RobbinHood .
La táctica permite a “los actores de amenazas finalizar procesos y servicios antivirus para la implementación de ransomware”, dijo Trend Micro en un análisis del martes.
Kasseika, descubierta por primera vez por la empresa de ciberseguridad a mediados de diciembre de 2023, muestra superposiciones con el ahora desaparecido BlackMatter , que surgió tras el cierre de DarkSide.
Hay evidencia de ransomware que podría ser obra de amenazas experimentado que adquirió o compró acceso a BlackMatter, dado que el código fuente de este último nunca se filtró públicamente después de su desaparición en noviembre de 2021.
ATAQUES
Las cadenas de ataques que involucran a Kasseika comienzan con un correo electrónico de phishing para el acceso inicial, y posteriormente eliminan herramientas de administración remota (RAT) para obtener acceso privilegiado y moverse lateralmente dentro de la red de destino.
Se ha observado que los actores de amenazas utilizan la utilidad de línea de comandos Sysinternals PsExec de Microsoft para ejecutar un script por lotes malicioso, que verifica la existencia de un proceso llamado “Martini.exe” y, si lo encuentra, lo finaliza para garantizar que solo haya una instancia del proceso que ejecuta la máquina.
La principal responsabilidad del ejecutable es descargar y ejecutar el controlador “Martini.sys” desde un servidor remoto para desactivar 991 herramientas de seguridad.
“Martini.sys” es un controlador firmado legítimo llamado “viragt64.sys” que se ha agregado a la lista de bloqueo de controladores vulnerables de Microsoft .
“Si Martini.sys no existe, el malware se terminará solo y no continuará con la rutina prevista”, dijeron los investigadores, indicando el papel crucial que desempeña el controlador en la evasión de la defensa.
Después de este paso, “Martini.exe” lanza la carga útil del ransomware, que se encarga del proceso de cifrado utilizando los algoritmos ChaCha20 y RSA, no sin antes eliminar todos los procesos y servicios que acceden al Administrador de reinicio de Windows.
Después coloca una nota de rescate en cada directorio y el fondo de pantalla de la computadora se modifica para mostrar una nota exigiendo un pago de 50 bitcoins a una dirección de billetera dentro de las 72 horas, o arriesgarse a pagar $500,000 adicionales cada 24 horas una vez que transcurra la fecha límite.
Además de eso, se espera que las víctimas publiquen una captura de pantalla del pago exitoso en un grupo de Telegram controlado por un actor para recibir un descifrador.
MAS DEL RANSOMWARE KASSEIKA
El ransomware Kasseika también tiene otros trucos bajo la manga, que incluyen borrar los rastros de la actividad borrando los registros de eventos del sistema utilizando el binario wevtutil.exe .
“El comando wevutil.exe borra eficientemente los registros de eventos de aplicaciones, seguridad y sistema en el sistema Windows”, dijeron los investigadores.
“Esta técnica se utiliza para operar discretamente, lo que dificulta que las herramientas de seguridad identifiquen y respondan a actividades maliciosas”.
El desarrollo se produce cuando la Unidad 42 de Palo Alto Networks detalló el cambio del grupo de ransomware BianLian de un esquema de doble extorsión a ataques de extorsión sin cifrado luego del lanzamiento de un descifrador gratuito a principios de 2023.
BianLian ha sido un grupo de amenazas activo y predominante desde septiembre de 2022, destacando predominantemente los sectores de servicios médicos, manufactureros, profesionales y legales en:
EE. UU., Reino Unido, Canadá, India, Australia, Brasil, Egipto, Francia, Alemania y España.
CREDENCIALES ROBADAS
Las credenciales robadas del Protocolo de escritorio remoto, las fallas de seguridad conocidas (por ejemplo, ProxyShell) y los shells web actúan como las rutas de ataque más comunes adoptadas por los operadores de BianLian para infiltrarse en las redes corporativas.
Es más, el equipo de cibercrimen comparte una herramienta personalizada basada en .NET con otro grupo de ransomware rastreado como Makop, lo que sugiere posibles conexiones entre los dos.
“Esta herramienta .NET es responsable de recuperar datos de enumeración de archivos, registro y portapapeles”, dijo el investigador de seguridad Daniel Frank en una nueva descripción general de BianLian.
“Esta herramienta contiene algunas palabras en idioma ruso, como los números del uno al cuatro.
El uso de dicha herramienta indica que los dos grupos podrían haber compartido un conjunto de herramientas o haber utilizado los servicios de los mismos desarrolladores en el pasado”.
¿Encontró interesante este artículo? Paquetes NPM maliciosos filtran cientos de claves SSH de desarrolladores a través de GitHub