AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Middle East Low Code No Code Summit TimeAI Summit

Scoperta nuova tattica ransomware "Kasseika"

Metodologia avanzata di attacco del ransomware Kasseika elude le difese digitali

Una variante ransomware chiamata Kasseika usa un driver vulnerabile per disabilitare antivirus e criptare dati. Inizia con una truffa email e poi si diffonde nella rete. Chiede 50 Bitcoin di riscatto.

Contribute to spreading the culture of prevention!
Support our cause with a small donation by helping us raise awareness among users and companies about cyber threats and defense solutions.

This pill is also available in English language

Gli esperti di Trend Micro hanno recentemente individuato un'insidiosa variante ransomware battezzata "Kasseika". Questo malware adotta una tecnica conosciuta come BYOVD (Bring Your Own Vulnerable Driver) per disabilitare programmi antivirus prima di criptare i dati. L'assalto inizia usualmente con un'email di phishing mirata a dipendenti dell'ente bersaglio, mirando a ottenere credenziali per infiltrarsi nella rete aziendale.

Fase di distribuzione e azione di Kasseika

Successivamente al breach iniziale, Kasseika utilizza PsExec, uno strumento nativo di Windows, per eseguire un file .bat maligno al fine di estendere il proprio raggio d'azione all'interno della rete. Tale script si dedica alla ricerca e alla chiusura di un processo specifico, "Martini.exe", così da prevenire interventi protettivi. La fase cruciale prevede il download e l'attivazione di "Martini.sys", un driver vulnerabile parte dell'antivirus VirtIT Agent System, senza il quale il ransomware non procederebbe.

Preparazione alla criptazione dei dati

L'aggressione prosegue con l'abuso del driver vulnerabile per ottenere privilegi elevati, necessari a terminare processi di sicurezza e sorveglianza il cui elenco è preconfigurato nel malware. Questo permette a Kasseika di procedere indisturbato all'attivazione dell'eseguibile incaricato della criptazione dei dati, usando algoritmi sofisticati simili a quelli di ransomware noti come BlackMatter.

Conclusione dell'attacco e richieste di riscatto

Conclusa la cifratura dei file, il malware lascia istruzioni per il pagamento del riscatto e procede alla rimozione delle proprie tracce digitali dal sistema infetto. Trend Micro riporta richieste della fondi per 50 Bitcoin, con 500 mila dollari di penalità per ogni giorno di ritardo oltre le prime 72 ore. Le prove del pagamento devono essere inviate via Telegram per ottenere gli strumenti necessari al recupero dei dati, con una deadline per il pagamento totale fissata a 120 ore.

Follow us on Threads for more pills like this

01/24/2024 22:47

Editorial AI

Last pills

LockBit's response to FBI actionsLockBit's technological revenge: post-attack updates and awareness

LockBit's tenacious activity despite global investigationsChallenges and countermeasures in the war against the LockBit cyber criminal group

Avast fined for illegitimate sale of web dataFines and restrictions imposed on cybersecurity company for misuse of personal data

KeyTrap: DNSSEC flaw discovered by researchersThe vulnerability puts the stability of DNSSEC at risk