Una reciente amenaza de Ransomware, denominada «Kasseika», se une a los perpetradores que emplean tácticas Bring Your Own Vulnerable Driver (BYOVD) para desactivar el software antivirus antes de cifrar los archivos.

Este, utiliza el controlador Martini de TG Soft (Martini.sys/viragt64.sys) para desactivar la protección de antivirus, además presenta similitudes en el código fuente con BlackMatter Ransomware, sugiriendo que Kasseika podría haber sido creado por antiguos miembros.

La secuencia de ataque comienza con el envío de correos electrónicos de phishing a los empleados de la organización objetivo, buscando adquirir sus credenciales para obtener acceso inicial a la red corporativa.

Posteriormente, los actores de amenazas emplean la herramienta PsExec de Windows para ejecutar archivos «.bat» maliciosos en el sistema infectado y otros a los que han llegado mediante el movimiento lateral. El archivo por lotes verifica la presencia del proceso «Martini.exe» y lo detiene para evitar interferencias, seguido de la descarga del controlador vulnerable «Martini.sys» en la máquina.

Mediante tácticas BYOVD, que implican aprovechar las vulnerabilidades en el controlador cargado, el malware adquiere privilegios para finalizar 991 procesos identificados en una lista codificada, muchos de los cuales pertenecen a productos antivirus, herramientas de seguridad, programas de análisis y utilidades del sistema.

Kasseika procede a ejecutar Martini.exe para terminar los procesos antivirus e inicia el binario principal del Ransomware (smartscreen_protected.exe). Ejecuta un script «clear.bat» para eliminar cualquier evidencia del ataque. Luego, coloca una nota de rescate en cada directorio que ha cifrado y modifica el fondo de pantalla de la computadora para mostrar un mensaje sobre el ataque.

Kasseika emplea los algoritmos de cifrado ChaCha20 y RSA para cifrar los archivos de destino, introduciendo una cadena pseudoaleatoria en los nombres de archivo (estructura similar a la utilizada por BlackMatter Ransomware).

Fuente:

El ransomware Kasseika utiliza un controlador antivirus para eliminar otros antivirus

Kasseika Ransomware Deploys BYOVD Attacks Abuses PsExec and Exploits Martini Driver