Kasseika usa antivírus para enganar você!
Especialistas em segurança da Trend Micro descobriram uma campanha recente de ransomware conhecida como “Kasseika”, que emprega uma metodologia inovadora chamada BYOVD, abreviação de “Bring Your Own Vulnerable Driver”, para subverter o software de segurança antes de iniciar as operações de criptografia de arquivos.
De acordo com as campanhas típicas de ransomware, o ataque iniciado por Kasseika normalmente começa com o envio de uma mensagem eletrônica enganosa ao pessoal da empresa alvo, com o objetivo de obter informações de credenciais de login por meio de táticas de engenharia social. Esses dados adquiridos são então utilizados para facilitar a entrada na rede corporativa e estabelecer uma base a partir da qual outras atividades maliciosas podem ser executadas.
Ao entrar na rede, os operadores da Kasseika utilizam a ferramenta PsExec no Windows para executar um arquivo.bat malicioso não apenas no sistema alvo inicial, mas também em outros sistemas que foram acessados por meio de movimento lateral pela rede.
Cadeia de ataque de Kasseika-Fonte: Trends Micro
O presente documento examina se existe ou não um programa executável denominado “Martini.exe” no sistema operacional e, se detectado, o encerra para evitar qualquer interferência potencial que possa surgir ao iniciar outra instância do Martini.exe supervisionada por software malicioso.. Ao mesmo tempo, uma versão suscetível do Martini.sys, incorporada à plataforma antivírus VirtIT Agent System da TG Soft, é baixada nos sistemas infectados. A instalação deste driver específico é considerada crítica para o sucesso do ataque cibernético, pois se permanecer desinstalado, o malware deixará de funcionar sem produzir quaisquer resultados perceptíveis. Embora a Trend Micro não forneça detalhes específicos sobre as falhas de segurança utilizadas pelo Kasseika, eles reconhecem que
Após a instalação bem-sucedida do componente de software comprometido, a entidade maliciosa obtém acesso não autorizado a recursos críticos do sistema, sequestrando os privilégios necessários para descontinuar operações associadas à proteção antivírus, aplicativos de segurança, monitores de desempenho e serviços de análise. Os identificadores de processo específicos são pré-programados no malware. Posteriormente, uma vez encerrados todos os processos designados, o programa prejudicial inicia o utilitário de criptografia primário antes de executar um script que apaga qualquer evidência de intrusão.
Kasseika utiliza criptografia ChaCha20 e RSA para criptografia de arquivos, empregando uma string gerada pseudoaleatoriamente em nomes de arquivos, o que se alinha com as táticas observadas em grupos cibercriminosos notórios, como BlackMatter (anteriormente conhecido como DarkSide, ALPHV e BlackCat).
O software malicioso emprega múltiplas estratégias para evitar a detecção e garantir o domínio completo sobre o sistema da vítima. Em primeiro lugar, deixa uma mensagem exorbitante dentro de cada pasta de ficheiros encriptados, ao mesmo tempo que altera a imagem de fundo do computador como uma indicação visual da sua intrusão. Além disso, ele executa uma ação final, apagando qualquer registro de suas atividades do log de eventos do sistema, tornando assim as investigações forenses extremamente desafiadoras.
Durante os ataques de ransomware monitorados pela Trend Micro, o resgate exigido é de 50 Bitcoins, o que equivale a aproximadamente dois milhões de dólares americanos e deve ser pago no prazo de 72 horas. O não cumprimento deste prazo resultará em uma multa adicional de meio milhão de dólares americanos por dia. Para obter a chave de descriptografia, as vítimas são instruídas a enviar uma captura de tela do pagamento para um canal privado do Telegram. O tempo máximo alocado para resolução é definido em 120 horas.
*️⃣ Link da fonte: