Scoperta nuova tattica ransomware "Kasseika"

Gli esperti di Trend Micro hanno recentemente individuato un'insidiosa variante ransomware battezzata "Kasseika". Questo malware adotta una tecnica conosciuta come BYOVD (Bring Your Own Vulnerable Driver) per disabilitare programmi antivirus prima di criptare i dati. L'assalto inizia usualmente con un'email di phishing mirata a dipendenti dell'ente bersaglio, mirando a ottenere credenziali per infiltrarsi nella rete aziendale.

Fase di distribuzione e azione di Kasseika

Successivamente al breach iniziale, Kasseika utilizza PsExec, uno strumento nativo di Windows, per eseguire un file .bat maligno al fine di estendere il proprio raggio d'azione all'interno della rete. Tale script si dedica alla ricerca e alla chiusura di un processo specifico, "Martini.exe", così da prevenire interventi protettivi. La fase cruciale prevede il download e l'attivazione di "Martini.sys", un driver vulnerabile parte dell'antivirus VirtIT Agent System, senza il quale il ransomware non procederebbe.

Preparazione alla criptazione dei dati

L'aggressione prosegue con l'abuso del driver vulnerabile per ottenere privilegi elevati, necessari a terminare processi di sicurezza e sorveglianza il cui elenco è preconfigurato nel malware. Questo permette a Kasseika di procedere indisturbato all'attivazione dell'eseguibile incaricato della criptazione dei dati, usando algoritmi sofisticati simili a quelli di ransomware noti come BlackMatter.

Conclusione dell'attacco e richieste di riscatto

Conclusa la cifratura dei file, il malware lascia istruzioni per il pagamento del riscatto e procede alla rimozione delle proprie tracce digitali dal sistema infetto. Trend Micro riporta richieste della fondi per 50 Bitcoin, con 500 mila dollari di penalità per ogni giorno di ritardo oltre le prime 72 ore. Le prove del pagamento devono essere inviate via Telegram per ottenere gli strumenti necessari al recupero dei dati, con una deadline per il pagamento totale fissata a 120 ore.