Scoperta nuova tattica ransomware "Kasseika"
Metodologia avanzata di attacco del ransomware Kasseika elude le difese digitali
Una variante ransomware chiamata Kasseika usa un driver vulnerabile per disabilitare antivirus e criptare dati. Inizia con una truffa email e poi si diffonde nella rete. Chiede 50 Bitcoin di riscatto.
Gli esperti di Trend Micro hanno recentemente individuato un'insidiosa variante ransomware battezzata "Kasseika". Questo malware adotta una tecnica conosciuta come BYOVD (Bring Your Own Vulnerable Driver) per disabilitare programmi antivirus prima di criptare i dati. L'assalto inizia usualmente con un'email di phishing mirata a dipendenti dell'ente bersaglio, mirando a ottenere credenziali per infiltrarsi nella rete aziendale.
Fase di distribuzione e azione di Kasseika
Successivamente al breach iniziale, Kasseika utilizza PsExec, uno strumento nativo di Windows, per eseguire un file .bat maligno al fine di estendere il proprio raggio d'azione all'interno della rete. Tale script si dedica alla ricerca e alla chiusura di un processo specifico, "Martini.exe", così da prevenire interventi protettivi. La fase cruciale prevede il download e l'attivazione di "Martini.sys", un driver vulnerabile parte dell'antivirus VirtIT Agent System, senza il quale il ransomware non procederebbe.
Preparazione alla criptazione dei dati
L'aggressione prosegue con l'abuso del driver vulnerabile per ottenere privilegi elevati, necessari a terminare processi di sicurezza e sorveglianza il cui elenco è preconfigurato nel malware. Questo permette a Kasseika di procedere indisturbato all'attivazione dell'eseguibile incaricato della criptazione dei dati, usando algoritmi sofisticati simili a quelli di ransomware noti come BlackMatter.
Conclusione dell'attacco e richieste di riscatto
Conclusa la cifratura dei file, il malware lascia istruzioni per il pagamento del riscatto e procede alla rimozione delle proprie tracce digitali dal sistema infetto. Trend Micro riporta richieste della fondi per 50 Bitcoin, con 500 mila dollari di penalità per ogni giorno di ritardo oltre le prime 72 ore. Le prove del pagamento devono essere inviate via Telegram per ottenere gli strumenti necessari al recupero dei dati, con una deadline per il pagamento totale fissata a 120 ore.
Follow us on Twitter for more pills like this01/24/2024 22:47
Marco Verro