Kasseika Ransomware utiliza el truco BYOVD para desactivar la seguridad antes del cifrado

El grupo de ransomware Kasseika utiliza el ataque BYOVD para desactivar procesos de seguridad en equipos Windows comprometidos, uniéndose a otros grupos como Akira, AvosLocker, BlackByte y RobbinHood. Según documenta Trend Micro, esta táctica permite a los actores de amenazas desplegar ransomware sin ser detectados. Kasseika, descubierto en diciembre de 2023, muestra similitudes con el antiguo BlackMatter. Se cree que la cepa de ransomware podría ser obra de un actor de amenazas experimentado que adquirió o compró acceso a BlackMatter. Las cadenas de ataques comienzan con un correo electrónico de phishing y se despliegan herramientas de administración remota (RATs) para desplazarse lateralmente dentro de la red objetivo.

Utilizan Sysinternals PsExec de Microsoft para ejecutar un script por lotes malicioso que termina el proceso «Martini.exe», utilizado por cientos de herramientas de seguridad, antes de descargar el controlador «Martini.sys» para desactivar 991 herramientas de seguridad. La carga útil de ransomware, que utiliza los algoritmos ChaCha20 y RSA, se lanza a continuación. Se deja una nota de rescate en cada directorio cifrado y se modifica el fondo de pantalla de la computadora para mostrar una nota que exige un pago de 50 bitcoins a una dirección de monedero en un plazo de 72 horas. También se elimina toda huella de la actividad al limpiar los registros de eventos del sistema utilizando el binario wevtutil.exe.

En noticias relacionadas, la unidad 42 de Palo Alto Networks detalló el cambio del grupo de ransomware BianLian del esquema de doble extorsión a ataques de extorsión sin cifrado. Este grupo ha sido activo desde septiembre de 2022, dirigiéndose predominantemente a los sectores de servicios de salud, fabricación, profesionales y jurídicos en Estados Unidos, Reino Unido, Canadá, India, Australia, Brasil, Egipto, Francia, Alemania y España. Utilizan credenciales robadas del Protocolo de Escritorio Remoto (RDP), vulnerabilidades conocidas de seguridad y cáscaras web para infiltrar las redes corporativas. Además, comparten una herramienta personalizada basada en .NET con otro grupo de ransomware rastreado como Makop, lo que sugiere posibles conexiones entre los dos.