Ciberseguridad 360 | Ransomware Kasseika emplea ataque BYOVD para neutralizar antivirus

El grupo de ransomware conocido como Kasseika se ha convertido en el �ltimo en aprovechar el ataque Bring Your Own Vulnerable Driver (BYOVD) para desactivar procesos relacionados con la seguridad en hosts Windows comprometidos, uni�ndose a grupos como Akira, AvosLocker, BlackByte y RobbinHood.

La t�ctica permite a los "actores de amenazas terminar los procesos y servicios antivirus para el despliegue de ransomware", dijo Trend Micro en un an�lisis el martes.

Kasseika, descubierto por primera vez por la empresa de ciberseguridad a mediados de diciembre de 2023, presenta solapamientos con el ya desaparecido BlackMatter, que surgi� tras el cierre de DarkSide.

Hay indicios que sugieren que la cepa de ransomware podr�a ser obra de un actor de amenazas experimentado que adquiri� o compr� acceso a BlackMatter, dado que el c�digo fuente de este �ltimo nunca se ha filtrado p�blicamente tras su desaparici�n en noviembre de 2021.

Las cadenas de ataques que implican a Kasseika comienzan con un correo electr�nico de phishing para el acceso inicial, y posteriormente utilizan herramientas de administraci�n remota (RAT) para obtener acceso privilegiado y moverse lateralmente dentro de la red objetivo.

Se ha observado que los actores de la amenaza utilizan la utilidad de l�nea de comandos PsExec de Sysinternals de Microsoft para ejecutar un script por lotes malicioso, que comprueba la existencia de un proceso llamado "Martini.exe" y, si lo encuentra, lo termina para asegurarse de que s�lo haya una instancia del proceso ejecut�ndose en la m�quina.

La principal responsabilidad del ejecutable es descargar y ejecutar el controlador "Martini.sys" desde un servidor remoto para desactivar 991 herramientas de seguridad . Cabe se�alar que "Martini.sys" es un controlador leg�timo firmado llamado "viragt64.sys" que se ha a�adido a la lista de bloqueo de controladores vulnerables de Microsoft.

"Si Martini.sys no existe, el malware se terminar� a s� mismo y no proceder� con su rutina prevista", afirman los investigadores, indicando el papel crucial que desempe�a el controlador en la evasi�n de la defensa.

Tras este paso, "Martini.exe" lanza la carga �til del ransomware ("smartscreen_protected.exe"), que se encarga del proceso de cifrado mediante los algoritmos ChaCha20 y RSA, no sin antes matar todos los procesos y servicios que acceden al Administrador de reinicio de Windows.

A continuaci�n, se deja caer una nota de rescate en cada directorio que haya cifrado y se modifica el fondo de pantalla del ordenador para que muestre una nota exigiendo un pago de 50 bitcoins a una direcci�n de monedero en un plazo de 72 horas, o arriesgarse a pagar 500.000 d�lares extra cada 24 horas una vez transcurrido el plazo.

Adem�s, se espera que las v�ctimas publiquen una captura de pantalla del pago realizado en un grupo de Telegram controlado por un actor para recibir un descifrador.

El ransomware Kasseika tambi�n tiene otros trucos bajo la manga, que incluyen borrar los rastros de la actividad mediante la limpieza de los registros de eventos del sistema utilizando el binario wevtutil.exe.

"El comando wevutil.exe borra eficazmente los registros de eventos de aplicaciones, seguridad y sistema del sistema Windows", explican los investigadores. "Esta t�cnica se utiliza para operar discretamente, haciendo m�s dif�cil para las herramientas de seguridad identificar y responder a las actividades maliciosas".

El desarrollo se produce cuando la Unidad 42 de Palo Alto Networks detall� el cambio del grupo de ransomware BianLian de un esquema de doble extorsi�n a ataques de extorsi�n sin cifrado tras el lanzamiento de un descifrador gratuito a principios de 2023.

BianLian ha sido un grupo de amenazas activo y prevalente desde septiembre de 2022, predominantemente dirigido a los sectores de la salud, la fabricaci�n, los servicios profesionales y legales en los Estados Unidos, el Reino Unido, Canad�, India, Australia, Brasil, Egipto, Francia, Alemania y Espa�a.

Las credenciales robadas del Protocolo de Escritorio Remoto (RDP), los fallos de seguridad conocidos (por ejemplo, ProxyShell) y las web shells son las rutas de ataque m�s comunes adoptadas por los operadores de BianLian para infiltrarse en las redes corporativas.

Adem�s, la banda de ciberdelincuentes comparte una herramienta personalizada basada en .NET con otro grupo de ransomware rastreado como Makop, lo que sugiere posibles conexiones entre ambos.

"Esta herramienta .NET es responsable de recuperar la enumeraci�n de archivos, el registro y los datos del portapapeles", afirma el investigador de seguridad Daniel Frank en una nueva descripci�n de BianLian.

"Esta herramienta contiene algunas palabras en lengua rusa, como los n�meros del uno al cuatro. El uso de una herramienta de este tipo indica que los dos grupos podr�an haber compartido un conjunto de herramientas o haber utilizado los servicios de los mismos desarrolladores en el pasado."

Fuente: thehackernews