I ricercatori di Trend Micro hanno scoperto un nuovo ransomware, denominato Kasseika, che sfrutta la tecnica BYOVD per disattivare l’antivirus e infettare i computer. Ciò avviene tramite una versione vulnerabile del driver di VirIT Agent System, sviluppato dalla azienda italiana TG Soft.
Driver dell’antivirus per disattivare gli antivirus
La tecnica BYOVD (Bring Your Own Vulnerable Driver) permette di utilizzare driver firmati (quindi legittimi), ma vulnerabili, che possono essere eseguiti con privilegi elevati. Gli esperti di Trend Micro hanno individuato alcune similitudini tra Kasseika e BlackMatter, per cui è probabile che gli autori dell’attacco siano gli stessi.
La catena di infezione inizia con l’invio di un’email di phishing ad un dipendente aziendale. Lo scopo è rubare le credenziali di accesso alla rete interna. Viene successivamente effettuata l’escalation dei privilegi e usato il tool PsExec di Windows per eseguire vari file batch. Uno di essi termina il processo Martini.exe
(se esistente) e scarica la versione vulnerabile del driver Martini.sys
.
Viene quindi creato il servizio Martini.exe
che carica il driver vulnerabile. Dopo aver ottenuto i privilegi elevati, il malware termina tutti i processi presenti in un elenco, molti dei quali appartengono a noti antivirus, tool di analisi e utility di sistema. Al termine viene eseguito il ransomware. Kasseika usa due algoritmi crittografici (ChaCha20 e RSA) per cifrare i file.
Le istruzioni da seguire per il pagamento del riscatto sono copiate in ogni directory e mostrate anche come sfondo del desktop. Le vittime hanno 72 ore di tempo per depositare 50 Bitcoin (circa 2 milioni di dollari), altrimenti verranno aggiunti altri 500.000 dollari per ogni 24 ore di ritardo. Lo screenshot che dimostra il pagamento deve essere inviato ad un gruppo su Telegram.