AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Scoperta nuova tattica ransomware "Kasseika"

Metodologia avanzata di attacco del ransomware Kasseika elude le difese digitali

Una variante ransomware chiamata Kasseika usa un driver vulnerabile per disabilitare antivirus e criptare dati. Inizia con una truffa email e poi si diffonde nella rete. Chiede 50 Bitcoin di riscatto.

This pill is also available in English language

Gli esperti di Trend Micro hanno recentemente individuato un'insidiosa variante ransomware battezzata "Kasseika". Questo malware adotta una tecnica conosciuta come BYOVD (Bring Your Own Vulnerable Driver) per disabilitare programmi antivirus prima di criptare i dati. L'assalto inizia usualmente con un'email di phishing mirata a dipendenti dell'ente bersaglio, mirando a ottenere credenziali per infiltrarsi nella rete aziendale.

Fase di distribuzione e azione di Kasseika

Successivamente al breach iniziale, Kasseika utilizza PsExec, uno strumento nativo di Windows, per eseguire un file .bat maligno al fine di estendere il proprio raggio d'azione all'interno della rete. Tale script si dedica alla ricerca e alla chiusura di un processo specifico, "Martini.exe", così da prevenire interventi protettivi. La fase cruciale prevede il download e l'attivazione di "Martini.sys", un driver vulnerabile parte dell'antivirus VirtIT Agent System, senza il quale il ransomware non procederebbe.

Preparazione alla criptazione dei dati

L'aggressione prosegue con l'abuso del driver vulnerabile per ottenere privilegi elevati, necessari a terminare processi di sicurezza e sorveglianza il cui elenco è preconfigurato nel malware. Questo permette a Kasseika di procedere indisturbato all'attivazione dell'eseguibile incaricato della criptazione dei dati, usando algoritmi sofisticati simili a quelli di ransomware noti come BlackMatter.

Conclusione dell'attacco e richieste di riscatto

Conclusa la cifratura dei file, il malware lascia istruzioni per il pagamento del riscatto e procede alla rimozione delle proprie tracce digitali dal sistema infetto. Trend Micro riporta richieste della fondi per 50 Bitcoin, con 500 mila dollari di penalità per ogni giorno di ritardo oltre le prime 72 ore. Le prove del pagamento devono essere inviate via Telegram per ottenere gli strumenti necessari al recupero dei dati, con una deadline per il pagamento totale fissata a 120 ore.

Follow us on Twitter for more pills like this

01/24/2024 22:47

Marco Verro

Last pills

Italy's success in cybersecurityHow Italy achieved excellence in global cybersecurity: strategies, collaborations, and international successes

IntelBroker alleged breach of Deloitte systemsServer exposed: how Deloitte's security may have been compromised by a cyber attack

Vo1d infections on Android TV boxes: how to protect your devicesLearn the essential measures to protect your Android TV boxes from the dreaded Vo1d malware and keep your devices safe from cyber threats

Hacker attack in Lebanon: Hezbollah under fireTechnological shock and injuries: cyber warfare hits Hezbollah in Lebanon