Observatorio de Amenazas

Kasseika, el ladrón sigiloso que desactiva tus alarmas

Escrito por Javiera González | 25-01-24

Un nuevo grupo de ransomware conocido como Kasseika ha sido descubierto. El ransomware se propaga a través de correos electrónicos de phishing y utiliza una táctica BYOVD (Bring Your Own Vulnerable Driver) para desactivar los procesos y servicios de seguridad en los hosts de Windows comprometidos.

Sobre el ransomware

Las cadenas de ataque que involucran a Kasseika comienzan con un correo electrónico de phishing que contiene un archivo adjunto malicioso. Si el usuario abre el archivo adjunto, se ejecuta un script por lotes que descarga e instala el controlador "Martini.sys" desde un servidor remoto.

El controlador "Martini.sys" es un controlador legítimo firmado llamado "viragt64.sys" que ha sido añadido a la lista de bloqueo de controladores vulnerables de Microsoft. Sin embargo, el ransomware ha modificado el controlador para que desactive las herramientas de seguridad, como el antivirus y el firewall.

Una vez que el controlador "Martini.sys" está instalado, se lanza la carga útil de ransomware ("smartscreen_protected.exe"). La carga útil de ransomware cifra los archivos del sistema utilizando los algoritmos ChaCha20 y RSA.

El ransomware también deja una nota de rescate en cada directorio cifrado y modifica el fondo de pantalla de la computadora para mostrar una nota que exige un pago de 50 bitcoins a una dirección de billetera. Las víctimas también deben publicar una captura de pantalla del pago exitoso a un grupo de Telegram controlado por los actores de la amenaza para recibir un descifrador.

Medidas de mitigación:

Para mitigar el riesgo de esta vulnerabilidad, las organizaciones pueden tomar las siguientes medidas:

  • Instalar y mantener actualizados los sistemas operativos y las aplicaciones de seguridad.
  • Tener cuidado con los correos electrónicos de phishing y los archivos adjuntos sospechosos.
  • Utilizar una solución de seguridad que pueda detectar y bloquear el ransomware.

 

Recomendaciones:

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Para tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.

Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

      • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
      • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
      • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

Fuentes

https://thehackernews.com/2024/01/kasseika-ransomware-using-byovd-trick.html

https://latam.kaspersky.com/resource-center/preemptive-safety/ransomware-removal

https://www.trendmicro.com/en_no/research/24/a/kasseika-ransomware-deploys-byovd-attacks-abuses-psexec-and-expl.html

https://www.redeszone.net/noticias/seguridad/peligroso-malware-usa-antivirus-atacar/

https://www.hfrance.fr/es/kasseika-ransomware-utiliza-un-controlador-antivirus-para-eliminar-otros-antivirus.html