Kasseika Ransomware: Analisi dell’Attacco BYOVD e Connessioni con BlackMatter
Il gruppo di ransomware noto come Kasseika ha recentemente adottato una tattica avanzata nel suo arsenale di attacchi, sfruttando l’attacco Bring Your Own Vulnerable Driver (BYOVD). Questa tecnica consente ai threat actor di disattivare i processi di sicurezza su host Windows compromessi, aprendo la strada al rilascio di ransomware. In questa analisi approfondita, esploreremo i dettagli di questo attacco e le connessioni rilevate con il defunto BlackMatter.
Inizio dell’Attacco
Kasseika è emerso per la prima volta nel radar della sicurezza informatica a metà dicembre 2023, presentando sovrapposizioni intriganti con BlackMatter, un gruppo che è emerso dopo la chiusura di DarkSide. Le prove indicano la possibilità che Kasseika sia il risultato del coinvolgimento di un threat actor esperto che ha ottenuto accesso o acquistato informazioni da BlackMatter, poiché il codice sorgente di quest’ultimo non è mai trapelato pubblicamente dopo la sua scomparsa nel novembre 2021.
Catene di Attacco e Metodologia
L’attacco orchestrato da Kasseika inizia con una classica email di phishing per ottenere l’accesso iniziale. Successivamente, il gruppo rilascia strumenti di amministrazione remota (RAT) per ottenere accesso privilegiato e muoversi lateralmente nella rete di destinazione. Un elemento chiave dell’attacco è l’utilizzo dell’utilità a riga di comando PsExec di Sysinternals di Microsoft, che esegue uno script batch dannoso.
L’eseguibile principale, “Martini.exe,” è responsabile di verificare l’esistenza del processo “Martini.exe” e, se presente, di terminarlo per garantire l’unicità dell’istanza in esecuzione sulla macchina. Successivamente, il malware scarica e esegue il driver “Martini.sys” da un server remoto, disabilitando così ben 991 strumenti di sicurezza. È interessante notare che “Martini.sys” è un driver legittimo chiamato “viragt64.sys,” aggiunto alla lista nera dei driver vulnerabili di Microsoft.
Fase Critica: Rilascio del Ransomware
Se il processo “Martini.sys” non è presente, il malware termina, evidenziando il ruolo cruciale del driver nell’evasione della difesa. Successivamente, il ransomware viene attivato tramite “smartscreen_protected.exe,” iniziando il processo di crittografia utilizzando gli algoritmi ChaCha20 e RSA. Prima di avviare la crittografia, vengono eliminati tutti i processi e i servizi che accedono al Windows Restart Manager.
Richiesta di Riscatto e Tattiche Evasive
Una nota di riscatto viene lasciata in ogni directory crittografata, mentre lo sfondo del computer viene modificato per mostrare una richiesta di pagamento di 50 bitcoin entro 72 ore. In caso contrario, è minacciato un aumento di $500,000 ogni 24 ore dopo la scadenza. Le vittime devono pubblicare uno screenshot del pagamento su un gruppo Telegram controllato dagli attori per ricevere il decryptor.
Il ransomware Kasseika mostra ulteriori tattiche evasive, come la cancellazione delle tracce dell’attività mediante l’eliminazione dei log degli eventi di sistema utilizzando l’eseguibile “wevtutil.exe.”
Connessioni con BlackMatter e Altri Sviluppi
Le connessioni con BlackMatter sollevano interrogativi sul coinvolgimento di un threat actor esperto nell’evoluzione di Kasseika. Allo stesso tempo, il panorama dei ransomware è in continua evoluzione, con altri gruppi come BianLian che si adattano alle nuove circostanze, passando da schemi di doppia estorsione ad attacchi di estorsione senza crittografia dopo il rilascio di decryptor gratuiti.
Conclusioni
Kasseika rappresenta una minaccia significativa nel panorama sempre mutevole dei ransomware. La sua adozione dell’attacco BYOVD e le connessioni con gruppi precedentemente attivi indicano la necessità di costante vigilanza e aggiornamenti delle difese informatiche. Le organizzazioni devono adottare misure preventive e comprendere le nuove tattiche utilizzate dai gruppi criminali informatici per mitigare il rischio di attacchi ransomware avanzati.