Un nuevo grupo de ransomware conocido como Kasseika ha sido descubierto. El ransomware se propaga a través de correos electrónicos de phishing y utiliza una táctica BYOVD (Bring Your Own Vulnerable Driver) para desactivar los procesos y servicios de seguridad en los hosts de Windows comprometidos.
Las cadenas de ataque que involucran a Kasseika comienzan con un correo electrónico de phishing que contiene un archivo adjunto malicioso. Si el usuario abre el archivo adjunto, se ejecuta un script por lotes que descarga e instala el controlador "Martini.sys" desde un servidor remoto.
El controlador "Martini.sys" es un controlador legítimo firmado llamado "viragt64.sys" que ha sido añadido a la lista de bloqueo de controladores vulnerables de Microsoft. Sin embargo, el ransomware ha modificado el controlador para que desactive las herramientas de seguridad, como el antivirus y el firewall.
Una vez que el controlador "Martini.sys" está instalado, se lanza la carga útil de ransomware ("smartscreen_protected.exe"). La carga útil de ransomware cifra los archivos del sistema utilizando los algoritmos ChaCha20 y RSA.
El ransomware también deja una nota de rescate en cada directorio cifrado y modifica el fondo de pantalla de la computadora para mostrar una nota que exige un pago de 50 bitcoins a una dirección de billetera. Las víctimas también deben publicar una captura de pantalla del pago exitoso a un grupo de Telegram controlado por los actores de la amenaza para recibir un descifrador.
Para mitigar el riesgo de esta vulnerabilidad, las organizaciones pueden tomar las siguientes medidas:
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Para tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.
Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
https://thehackernews.com/2024/01/kasseika-ransomware-using-byovd-trick.html
https://latam.kaspersky.com/resource-center/preemptive-safety/ransomware-removal
https://www.redeszone.net/noticias/seguridad/peligroso-malware-usa-antivirus-atacar/