Kasseika Ransomware: Analisi dell'Attacco BYOVD e Connessioni con BlackMatter

Scopri tutti i dettagli sull'attacco del ransomware Kasseika che sfrutta il Bring Your Own Vulnerable Driver (BYOVD) per disattivare i processi di sicurezza su host Windows compromessi. Analizziamo le connessioni con BlackMatter, le tattiche utilizzate e le contromisure necessarie. Leggi di più su questo avanzato attacco informatico.

               

Kasseika Ransomware: Analisi dell'Attacco BYOVD e Connessioni con BlackMatter

Il gruppo di ransomware noto come Kasseika ha recentemente adottato una tattica avanzata nel suo arsenale di attacchi, sfruttando l'attacco Bring Your Own Vulnerable Driver (BYOVD). Questa tecnica consente ai threat actor di disattivare i processi di sicurezza su host Windows compromessi, aprendo la strada al rilascio di ransomware. In questa analisi approfondita, esploreremo i dettagli di questo attacco e le connessioni rilevate con il defunto BlackMatter.

Inizio dell'Attacco

Kasseika è emerso per la prima volta nel radar della sicurezza informatica a metà dicembre 2023, presentando sovrapposizioni intriganti con BlackMatter, un gruppo che è emerso dopo la chiusura di DarkSide. Le prove indicano la possibilità che Kasseika sia il risultato del coinvolgimento di un threat actor esperto che ha ottenuto accesso o acquistato informazioni da BlackMatter, poiché il codice sorgente di quest'ultimo non è mai trapelato pubblicamente dopo la sua scomparsa nel novembre 2021.

Catene di Attacco e Metodologia

L'attacco orchestrato da Kasseika inizia con una classica email di phishing per ottenere l'accesso iniziale. Successivamente, il gruppo rilascia strumenti di amministrazione remota (RAT) per ottenere accesso privilegiato e muoversi lateralmente nella rete di destinazione. Un elemento chiave dell'attacco è l'utilizzo dell'utilità a riga di comando PsExec di Sysinternals di Microsoft, che esegue uno script batch dannoso.

L'eseguibile principale, "Martini.exe," è responsabile di verificare l'esistenza del processo "Martini.exe" e, se presente, di terminarlo per garantire l'unicità dell'istanza in esecuzione sulla macchina. Successivamente, il malware scarica e esegue il driver "Martini.sys" da un server remoto, disabilitando così ben 991 strumenti di sicurezza. È interessante notare che "Martini.sys" è un driver legittimo chiamato "viragt64.sys," aggiunto alla lista nera dei driver vulnerabili di Microsoft.

Fase Critica: Rilascio del Ransomware

Se il processo "Martini.sys" non è presente, il malware termina, evidenziando il ruolo cruciale del driver nell'evasione della difesa. Successivamente, il ransomware viene attivato tramite "smartscreen_protected.exe," iniziando il processo di crittografia utilizzando gli algoritmi ChaCha20 e RSA. Prima di avviare la crittografia, vengono eliminati tutti i processi e i servizi che accedono al Windows Restart Manager.

Richiesta di Riscatto e Tattiche Evasive

Una nota di riscatto viene lasciata in ogni directory crittografata, mentre lo sfondo del computer viene modificato per mostrare una richiesta di pagamento di 50 bitcoin entro 72 ore. In caso contrario, è minacciato un aumento di $500,000 ogni 24 ore dopo la scadenza. Le vittime devono pubblicare uno screenshot del pagamento su un gruppo Telegram controllato dagli attori per ricevere il decryptor.

Il ransomware Kasseika mostra ulteriori tattiche evasive, come la cancellazione delle tracce dell'attività mediante l'eliminazione dei log degli eventi di sistema utilizzando l'eseguibile "wevtutil.exe."

Connessioni con BlackMatter e Altri Sviluppi

Le connessioni con BlackMatter sollevano interrogativi sul coinvolgimento di un threat actor esperto nell'evoluzione di Kasseika. Allo stesso tempo, il panorama dei ransomware è in continua evoluzione, con altri gruppi come BianLian che si adattano alle nuove circostanze, passando da schemi di doppia estorsione ad attacchi di estorsione senza crittografia dopo il rilascio di decryptor gratuiti.

Conclusioni

Kasseika rappresenta una minaccia significativa nel panorama sempre mutevole dei ransomware. La sua adozione dell'attacco BYOVD e le connessioni con gruppi precedentemente attivi indicano la necessità di costante vigilanza e aggiornamenti delle difese informatiche. Le organizzazioni devono adottare misure preventive e comprendere le nuove tattiche utilizzate dai gruppi criminali informatici per mitigare il rischio di attacchi ransomware avanzati.

Fonte della notizia

Vulnerabilità e Patch Sicurezza

• Minacce NPM Rivelate: Chiavi SSH di Sviluppatori Esposte tramite GitHub
• GoAnywhere MFT: Aggiorna Subito per Proteggerti dalla Vulnerabilità Critica CVE-2024-0204
• Apple Patch Zero-Day: Aggiornamenti Critici per Sicurezza iPhone e Mac – Intervento Urgente
• Attacco MavenGate: Vulnerabilità nelle Librerie Java e Android Esposte – Rilevato Nuovo Metodo di Attacco
• ScarCruft: Hacker Nordcoreani Utilizzano Ricerche False per Diffondere il Backdoor RokRAT
• Vulnerabilità Apache ActiveMQ: Attacco Web Shell Godzilla Rilevato
• Hacker Cinesi Sfruttano Zero-Day di VMware: Dettagli sulla Vulnerabilità CVE-2023-34048
• NS-STEALER: Nuovo Malware Java Utilizza Bot Discord per Esfiltrare Dati Sensibili dai Browser
• TA866 Allarme Phishing Fattura: Distribuzione Malware WasabiSeed e Screenshotter nel Nord America
• Rivelata Vulnerabilità Critica: Attivamente Sfruttata la Falla Ivanti EPMM secondo l’Agenzia per la Sicurezza Informatica US
• Allarme Zero-Day: Aggiorna Subito Chrome per Risolvere una Nuova Vulnerabilità Attivamente Sfruttata
• Attacco Zero-Day: Hacker Cinesi Sfruttano Vulnerabilità Critiche in Ivanti Connect Secure e Policy Secure
• Citrix, VMware e Atlassian Colpiti da Flaw Critici – Urgente Applicazione Patch!
• Nuova Minaccia: Phemedrone Stealer Sfrutta Vulnerabilità Patchata di Windows Defender SmartScreen
• NoaBot: Nuovo Botnet Mirai per il Mining di Criptovalute su Server SSH
• Cisco Agisce Rapidamente: Risoluzione Vulnerabilità Critica in Unity Connection con gli Ultimi Aggiornamenti
• FBot: Il Nuovo Toolkit di Hacking Python Rivela Attacchi a Server Cloud e Piattaforme SaaS
• Hacker siriani distribuiscono Silver RAT C# stealthy ai criminali informatici
• Water Curupira Hackers Distribuiscono Attivamente il Malware PikaBot Loader: Analisi e Implicazioni
• Malware e Google MultiLogin: Accesso Persistente Nonostante il Reset della Password
• Nuova Variante di Bandook RAT: Risorge, Mirando i Sistemi Windows
• Vulnerabilità Critica in Ivanti Endpoint Manager: Patch Rilasciata
• Truffe Bitcoin: Attenti alle Frodi di Mining Online – Guida Anti-Phishing
• Nuovo caricatore malware Rugmi registra centinaia di rilevamenti giornalieri
• Apple iOS vulnerabile a spyware sofisticato che sfrutta una funzione hardware segreta
• Hacker cinesi sfruttano zero-day negli apparecchi ESG di Barracuda
• New Android Xamalicious Malware Affects 327,000 Devices: Data Theft and Financial Attacks
• Nuovo Malware Android Xamalicious Colpisce 327.000 Dispositivi: Dati Rubati e Attacchi Finanziari
• Carbanak: Malware Bancario Risorge con Nuove Tattiche di Ransomware
• Attacchi di Spear-Phishing di Cloud Atlas: Impatti sulle Imprese Russe
• Nuovo Backdoor ‘FalseFont’: Minaccia al Settore Difesa Avvertita da Microsoft
• Rischio Malware: Documenti Word Falsi usati per Diffondere Minaccia Nim
• Rischio: Plugin WordPress Fraudolento Espone Siti E-commerce al Furto di Carte di Credito
• Chameleon: Nuova Minaccia – Trojan Bancario Android Aggira l’Autenticazione Biometrica
• Spyware Predator: Analisi del Modello di Licensing Milionario e Impatto sulla Sicurezza Mobile
• Disattivazione BlackCat Ransomware: Lotta dell’FBI contro il Cybercrimine
• Rhadamanthys Malware: Swiss Army Knife dei Furti di Informazioni Emergenti
• Esperti svelano dettagli su Exploit Zero-Click RCE in Outlook
• Vulnerabilità nascoste delle App Web: Bug o Caratteristica?
• Storm-0539: Il Nuovo Pericolo delle Frodi con Buoni Regalo durante le Feste
• Botnet KV: Attacchi Silenziosi a Cisco, DrayTek e Fortinet con Routers e Firewall
• Scoperta minaccia NKAbuse: Malware DDoS su Tecnologia Blockchain NKN
• Minaccia BazaCall: Utilizzo di Google Forms nel Nuovo Attacco di Phishing
• Microsoft Avverte: Attacchi di Phishing e Mining di Criptovalute sfruttano OAuth
• Microsoft Patch Tuesday Dicembre 2023: Risolti 33 Difetti, 4 Critici
• Minacce Informatiche al Settore Sanitario: Strategie Vigili contro Ransomware e Vulnerabilità
• Rischi dell’Accesso Non Umano nel 2023: Attacchi Informatici e Sicurezza delle Identità
• Apache Struts 2 Vulnerabilità Critica di RCE – Patch di Sicurezza Necessaria
• Apple rilascia iOS 17.2 con la sua nuova app Journal
• AutoSpill: Nuovo attacco ruba credenziali da gestori password Android
• SLAM Attack: Nuova vulnerabilità basata su Spectre colpisce CPU Intel, AMD e Arm
• 5Ghoul: Nuove Vulnerabilità Colpiscono Dispositivi iOS e Android
• PoolParty: Tecniche Iniezione Processi sfuggono EDR Windows
• Operazione RusticWeb: Malware basato su Rust prende di mira le entità del governo indiano
• UAC-0099 Sfrutta Vulnerabilità WinRAR per Attaccare Aziende Ucraine con Malware LONEPAGE
• SpectralBlur: Nuovo Malware macOS, Minaccia Nordcoreana Backdoor
• Tre Nuovi Attori del Ransomware da Tenere d’Occhio nel 2024

Fonte notizia
windows8.myblog.it 2024 01 24 kasseika-ransomware-analisi-dellattacco-byovd-e-connessioni-con-blackmatter

Ransomware Kasseika BYOVD Sicurezza Informatica BlackMatter Attacco Informatico Analisi Trend Micro Martini exe Martini sys Crypto-Ransomware Cybersecurity Cybercrime Palo Alto Networks Unit 42 BianLian Makop Double Extortion Decrypto

Condividi:                

Vuoi fare una segnalazione relativa a questo articolo? (Clicca qui)