Kasseika: attacco BYOVD per disattivare l'antivirus

Kasseika: attacco BYOVD per disattivare l'antivirus

Kasseika è un nuovo ransomware che sfrutta il driver vulnerabile di un antivirus per disattivare gli altri antivirus e infettare il computer.
Kasseika: attacco BYOVD per disattivare l'antivirus
Kasseika è un nuovo ransomware che sfrutta il driver vulnerabile di un antivirus per disattivare gli altri antivirus e infettare il computer.

I ricercatori di Trend Micro hanno scoperto un nuovo ransomware, denominato Kasseika, che sfrutta la tecnica BYOVD per disattivare l’antivirus e infettare i computer. Ciò avviene tramite una versione vulnerabile del driver di VirIT Agent System, sviluppato dalla azienda italiana TG Soft.

Driver dell’antivirus per disattivare gli antivirus

La tecnica BYOVD (Bring Your Own Vulnerable Driver) permette di utilizzare driver firmati (quindi legittimi), ma vulnerabili, che possono essere eseguiti con privilegi elevati. Gli esperti di Trend Micro hanno individuato alcune similitudini tra Kasseika e BlackMatter, per cui è probabile che gli autori dell’attacco siano gli stessi.

La catena di infezione inizia con l’invio di un’email di phishing ad un dipendente aziendale. Lo scopo è rubare le credenziali di accesso alla rete interna. Viene successivamente effettuata l’escalation dei privilegi e usato il tool PsExec di Windows per eseguire vari file batch. Uno di essi termina il processo Martini.exe (se esistente) e scarica la versione vulnerabile del driver Martini.sys.

Viene quindi creato il servizio Martini.exe che carica il driver vulnerabile. Dopo aver ottenuto i privilegi elevati, il malware termina tutti i processi presenti in un elenco, molti dei quali appartengono a noti antivirus, tool di analisi e utility di sistema. Al termine viene eseguito il ransomware. Kasseika usa due algoritmi crittografici (ChaCha20 e RSA) per cifrare i file.

Le istruzioni da seguire per il pagamento del riscatto sono copiate in ogni directory e mostrate anche come sfondo del desktop. Le vittime hanno 72 ore di tempo per depositare 50 Bitcoin (circa 2 milioni di dollari), altrimenti verranno aggiunti altri 500.000 dollari per ogni 24 ore di ritardo. Lo screenshot che dimostra il pagamento deve essere inviato ad un gruppo su Telegram.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 25 gen 2024
Link copiato negli appunti