O ransomware Kasseika usa driver antivírus para eliminar outros antivírus
24 de Janeiro de 2024

Uma operação de ransomware recentemente descoberta, chamada 'Kasseika', juntou-se ao grupo de atores de ameaças que empregam táticas de Bring Your Own Vulnerable Driver (BYOVD) para desativar o software antivírus antes de criptografar os arquivos.

Kasseika abusa do driver Martini (Martini.sys/viragt64.sys), parte do Sistema de Agente VirtIT da TG Soft, para desativar os produtos antivírus que protegem o sistema alvo.

De acordo com a Trend Micro, cujos analistas descobriram e examinaram primeiro o Kasseika em dezembro de 2023, a nova cepa de ransomware possui muitas cadeias de ataque e semelhanças de código-fonte com o BlackMatter.

Como o código-fonte do BlackMatter nunca vazou publicamente desde seu fechamento no final de 2021, é provável que o Kasseika tenha sido construído por ex-membros do grupo de ameaças ou atores de ransomware experientes que compraram seu código.

Os ataques do Kasseika começam com um email de phishing enviado aos funcionários da organização alvo, tentando roubar suas credenciais de conta, que então serão usadas para acesso inicial à rede corporativa.

Em seguida, os operadores do Kasseika abusam da ferramenta Windows PsExec para executar arquivos .bat maliciosos no sistema infectado e em outros aos quais tenham acessado por meio de movimento lateral.

O arquivo em lote verifica a presença de um processo chamado 'Martini.exe' e o encerra para evitar interferências.

Depois, baixa o vulnerável driver 'Martini.sys' na máquina.

A presença desse driver é crucial na cadeia de ataque, pois o Kasseika não continuará se a criação do serviço 'Martini' falhar ou se 'Martini.sys' não for encontrado no sistema.

Ao usar ataques BYOVD, também conhecido como explorar falhas no driver carregado, o malware obtém os privilégios para terminar 991 processos de uma lista pré-definida, muitos dos quais correspondem a produtos antivírus, ferramentas de segurança, ferramentas de análise e utilitários de sistema.

O Kasseika eventualmente executa Martini.exe para encerrar processos AV e, em seguida, lança o binário principal do ransomware (smartscreen_protected.exe).

Depois disso, ele executa um script 'clear.bat' para remover vestígios do ataque.

O ransomware utiliza os algoritmos de criptografia ChaCha20 e RSA para criptografar os arquivos alvo, anexando uma string pseudo-aleatória nos nomes dos arquivos, semelhante ao BlackMatter.

O Kasseika deixa uma nota de resgate em cada diretório que ele criptografou e também muda o papel de parede do computador para exibir uma nota sobre o ataque.

Finalmente, o Kasseika limpa os logs de eventos do sistema após a criptografia, usando comandos como 'wevutil.exe' para apagar vestígios de suas atividades e dificultar a análise de segurança.

Nos ataques vistos pela Trend Micro, as vítimas receberam 72 horas para depositar 50 Bitcoins ($2,000,000), com mais $500,000 adicionados a cada 24 horas de atraso na resolução.

As vítimas são esperadas para postar um screenshot do comprovante de pagamento em um grupo privado do Telegram para receber um decodificador, com o prazo máximo para fazê-lo definido em 120 horas (5 dias).

A Trend Micro publicou os indicadores de comprometimento (IoCs) relacionados à ameaça Kasseika separadamente neste arquivo de texto.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...