Программа-вымогатель под названием Kasseika использует тактику Bring Your Own Vulnerable Driver (BYOVD) для отключения антивирусного ПО перед шифрованием файлов.
Kasseika использует драйвер Martini, входящий в состав системы VirtIT Agent System компании TG Soft, для отключения антивирусных продуктов, защищающих целевую систему. Trend Micro обнаружила Kasseika в декабре 2023 года, отметив ее сходство с BlackMatter и предположив, что она могла быть создана бывшими участниками или актерами, купившими код BlackMatter. Атака начинается с фишингового письма, кражи учетных данных для первоначального доступа, а затем злоупотребления инструментом Windows PsExec для латерального перемещения. Kasseika использует BYOVD-атаки для получения привилегий, завершения антивирусных процессов и выполнения бинарного файла ransomware, требующего выкуп в биткойнах и предоставляющего жертвам возможность расшифровки в течение 120 часов.
Indicators of Compromise
SHA256
- 07eb1ef3ed7af7cd0c735d20315b66dec3a7d0fc7b1bc604d442f76ce07f2739
- 22f8fa1b42e487f6f6d6c6a62bba65267e2d292f80989031f8529558c86a9119
- 3d52113286b6229ea6ee5ab0be773d4dff8d56d3f54691ad849910e7153979aa
- 63c336d18884369c4c721363b88f7a23fe05bc7fc7db84c8b248703b94ca8196
- 8a0cd4fb3542458849e20c547a684578dd7fdd4317021dacf5517f607f8ceea7
- ae635a4dd36a2bf7047b6a63605a9d20aae4bcc313d93068e5e0b6676a32a39f
- c33acab1ddbee95302f0d54feb1c49c40dec807cec251fb6d30d056f571155e0
- cfac38a276ea508da50703915692cb8bd9d734ce74dc051239beb68cf89b2b37
- d2fcf0e66ba6a81931159c7a76f497f283751e50435dda56d4c912d9034b84a8
