Kasseika Ransomware
Le groupe de ransomwares nommé Kasseika a récemment adopté la méthode d'attaque Bring Your Own Vulnerable Driver (BYOVD) pour neutraliser les processus de sécurité sur les systèmes Windows compromis. Cette approche aligne Kasseika avec d'autres groupes tels que Akira , AvosLocker, BlackByte et RobbinHood , qui utilisent également la technique BYOVD pour désactiver les processus et services anti-malware, facilitant ainsi le déploiement de ransomwares.
Initialement identifié par des experts en cybersécurité à la mi-décembre 2023, Kasseika partage des similitudes avec le groupe BlackMatter , aujourd'hui dissous, apparu suite à l'arrêt de DarkSide . Certaines indications suggèrent que la variante du ransomware associée à Kasseika pourrait être le résultat d'un acteur malveillant expérimenté obtenant l'accès ou l'achat d'actifs auprès de BlackMatter. Cette spéculation vient du fait que le code source de BlackMatter n'a pas été divulgué publiquement depuis sa disparition en novembre 2021.
Table des matières
Vecteurs d'attaque utilisés pour infecter les appareils avec le ransomware Kasseika
Les séquences d'attaque de Kasseika démarrent par un e-mail de phishing conçu pour un accès initial, suivi du déploiement d'outils d'accès à distance (RAT) pour acquérir une entrée privilégiée et naviguer latéralement au sein du réseau ciblé. Notamment, des acteurs malveillants au sein de cette campagne ont été observés en train d'utiliser l'utilitaire de ligne de commande Sysinternals PsExec de Microsoft pour exécuter un script batch dangereux. Ce script vérifie la présence d'un processus appelé « Martini.exe » et, s'il est détecté, le termine pour garantir qu'une seule instance du processus s'exécute sur la machine.
Le rôle principal de l'exécutable « Martini.exe » est de télécharger et d'exécuter le pilote « Martini.sys » à partir d'un serveur distant. Ce pilote est responsable de la désactivation des outils de sécurité 991. Il est pertinent de mentionner que « Martini.sys » est un pilote légitimement signé portant le nom « viragt64.sys », mais il a été inclus dans la liste de blocage des pilotes vulnérables de Microsoft. Si « Martini.sys » n'est pas trouvé, le logiciel malveillant se termine de lui-même, évitant ainsi toute exécution ultérieure.
Suite à cette phase, « Martini.exe » lance l'exécution de la charge utile du ransomware, « smartscreen_protected.exe », responsable du processus de cryptage à l'aide des algorithmes ChaCha20 et RSA. Cependant, avant de commencer le chiffrement, il met fin à tous les processus et services associés au gestionnaire de redémarrage Windows.
Le ransomware Kasseika exige des rançons exorbitantes de la part des victimes
Suite au cryptage, une demande de rançon est déposée dans chaque répertoire concerné, accompagnée d'une modification du fond d'écran de l'ordinateur affichant une demande de paiement de 50 bitcoins à une adresse de portefeuille spécifiée. La stipulation est d'effectuer le paiement dans les 72 heures ; sinon, vous risquez de devoir payer des frais supplémentaires de 500 000 $ toutes les 24 heures une fois le délai expiré.
De plus, les victimes doivent partager une capture d'écran confirmant le paiement réussi dans un groupe Telegram contrôlé par un acteur pour recevoir l'outil de décryptage.
Le Kasseika Ransomware est doté de capacités de menace étendues
En plus de ses fonctions principales, Kasseika Ransomware utilise des tactiques supplémentaires pour brouiller les pistes. Une de ces techniques consiste à effacer les traces de ses activités en utilisant le binaire wevtutil.exe pour effacer les journaux d'événements du système. Cette commande efface efficacement les journaux d’événements des applications, de la sécurité et du système sur le système Windows. En employant cette méthode, le ransomware opère discrètement, ce qui augmente la difficulté pour les outils de sécurité de détecter et de répondre aux activités malveillantes.
La demande de rançon présentée par Kasseika Ransomware aux victimes se lit comme suit :
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
