Kasseira: scoperto nuovo ransomware che disabilita gli antivirus

I ricercatori della società di sicurezza Trend Micro hanno scoperto un'operazione ransomware, denominata “Kasseika”, che ha sfruttato la tattica Bring Your Own Vulnerable Driver (BYOVD) per disabilitare il software antivirus prima di crittografare i file. Kasseika abusa del driver Martini (Martini.sys/viragt64.sys), parte del VirtIT Agent System di TG Soft, per disabilitare prodotti antivirus che proteggono il sistema preso di mira. Secondo Trend Micro il nuovo ceppo di ransomware presenta molte catene di attacco e somiglianze nel codice sorgente con BlackMatter. Il codice sorgente di BlackMatter non è mai trapelato pubblicamente dalla sua chiusura (alla fine del 202). Ciò significa che Kasseika è stato probabilmente creato da ex membri del gruppo hacker o da esperti di ransomware che ne hanno acquistato il codice.

Kasseika: come funziona l’attacco del ransomware

L’attacco inizia con un'e-mail di phishing inviata ai dipendenti dell'organizzazione presa di mira. Lo scopo è rubare le credenziali degli account, che verranno poi utilizzate per accedere alla rete aziendale. Successivamente, gli operatori hacker abusano dello strumento Windows PsExec per eseguire file .bat dannosi sul sistema infetto e su altri a cui hanno avuto accesso tramite movimento laterale. Il file batch verifica la presenza del processo "Martini.exe" e lo termina per evitare interferenze. Successivamente, scarica il driver vulnerabile "Martini.sys" sulla macchina. Utilizzando gli attacchi BYOVD, ovvero sfruttando i difetti nel driver caricato, il malware ottiene i privilegi per terminare 991 processi da un elenco codificato. Molti di questi corrispondono ad antivirus, strumenti di sicurezza, strumenti di analisi e utilità di sistema. Kasseika esegue quindi Martini.exe per terminare i processi AV e avvia il file binario principale del ransomware (smartscreen_protected.exe). Successivamente, esegue uno script “clear.bat” per rimuovere le tracce dell'attacco.

Il ransomware utilizza gli algoritmi di crittografia ChaCha20 e RSA per crittografare i file di destinazione, aggiungendo una stringa pseudo-casuale ai nomi dei file. Il procedimento è simile a BlackMatter. Kasseika inserisce una richiesta di riscatto in ogni directory che ha crittografato e modifica anche lo sfondo del computer per visualizzare una nota sull'attacco. Il ransomware cancella infine i registri degli eventi di sistema dopo la crittografia, utilizzando comandi come “wevutil.exe” per eliminare le tracce delle sue attività e rendere più difficile l'analisi della sicurezza. Negli attacchi osservati da Trend Micro, alle vittime sono state concesse 72 ore per depositare 50 Bitcoin (2.000.000 di dollari), con altri 500.000 dollari aggiunti ogni 24 ore di ritardo nella risoluzione. Le vittime devono poi pubblicare su un gruppo Telegram dedicato la prova di pagamento, in modo da ricevere un decrittatore. Questo avrà un termine massimo fissato a 120 ore (ovvero 5 giorni).