Une opération de ransomware récemment découverte nommée « Kasseika » a rejoint le club des acteurs de la menace qui emploie des tactiques BYOVD (Apportez votre propre pilote vulnérable) pour désactiver le logiciel antivirus avant de crypter les fichiers.

Kasseika abuse du chauffeur de Martini (Martini.système / viragt64.sys), qui fait partie du système d’agent VirtIT de TG Soft, pour désactiver les produits antivirus protégeant le système ciblé.

Selon Trend Micro, dont les analystes ont découvert et examiné Kasseika pour la première fois en décembre 2023, la nouvelle souche de ransomware présente de nombreuses chaînes d’attaques et similitudes de code source avec BlackMatter.

Comme le code source de BlackMatter n’a jamais été divulgué publiquement depuis sa fermeture fin 2021, Kasseika a probablement été construit par d’anciens membres du groupe de menaces ou des acteurs expérimentés du ransomware qui ont acheté son code.

Chaîne d’attaque de Kasseika
Les attaques Kasseika commencent par un e-mail de phishing envoyé aux employés de l’organisation ciblée, tentant de voler les informations d’identification de leur compte, qui seront ensuite utilisées pour l’accès initial au réseau de l’entreprise.

Ensuite, les opérateurs de Kasseika abusent de l’outil Windows PsExec pour exécuter des programmes malveillants .fichiers bat sur le système infecté et d’autres auxquels ils ont accédé par un mouvement latéral.

Le fichier batch vérifie la présence d’un processus nommé ‘Martini.exe ‘ et le termine pour éviter les interférences. Ensuite, il télécharge le Martini vulnérable.pilote de sys sur la machine.

Pilote vulnérable signé numériquement

La présence de ce pilote est cruciale dans la chaîne d’attaque, car Kasseika n’ira pas plus loin si la création du service « Martini » échoue ou si « Martini » échoue.sys ‘ n’est pas trouvé sur le système.

En utilisant des attaques BYOVD, c’est-à-dire en exploitant des failles dans le pilote chargé, le logiciel malveillant obtient les privilèges de mettre fin aux processus 991 à partir d’une liste codée en dur, dont beaucoup correspondent à des produits antivirus, des outils de sécurité, des outils d’analyse et des utilitaires système.

Kasseika finit par exécuter Martini.exe pour terminer les processus AV, puis lance le binaire principal du ransomware (smartscreen_protected.exe). Après cela, il exécute un ‘ clair.script bat ‘ pour supprimer les traces d’attaque.

Le ransomware utilise les algorithmes de cryptage ChaCha20 et RSA pour crypter les fichiers cibles, en ajoutant une chaîne pseudo-aléatoire aux noms de fichiers, similaire à BlackMatter.

Fichiers cryptés par Kasseika

Kasseika dépose une demande de rançon dans chaque répertoire qu’il a crypté et modifie également le fond d’écran de l’ordinateur pour afficher une note sur l’attaque.

Diagramme de la chaîne d’attaque de Kasseika

Enfin, Kasseika efface les journaux d’événements système après le cryptage, en utilisant des commandes comme ‘ wevutil.exe ‘ pour effacer les traces de ses activités et rendre l’analyse de sécurité plus difficile.

Dans les attaques observées par Trend Micro, les victimes disposaient de 72 heures pour déposer 50 Bitcoins (2 000 000 USD), avec 500 000 USD supplémentaires ajoutés toutes les 24 heures de retard de résolution.

Note de rançon Kasseika comme fond d’écran Windows

Les victimes doivent publier une capture d’écran de la preuve de paiement sur un groupe Telegram privé pour recevoir un déchiffreur, le délai maximum pour ce faire étant fixé à 120 heures (5 jours).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *