Los expertos han identificado una nueva Secuestro de datos Variante que utiliza un controlador desactualizado y vulnerable para hacerse pasar por un programa antivirus, eliminar todos los programas de seguridad reales en la computadora y luego infectar el dispositivo.
Los investigadores denominaron a la variante Kasseika y creen que está relacionada con una antigua malware variante que murió hace años: BlackMatter.
En un informe, expertos en ciberseguridad de Tendencia Micro afirman que la campaña de ataque comienza con un correo electrónico de phishing cuyo objetivo es robar las credenciales de inicio de sesión. Los atacantes luego usarían el acceso para eliminar Kasseika, cuya primera tarea es eliminar un proceso llamado Martini.exe. El segundo paso es descargar el controlador vulnerable llamado Martini.sys.
¿BlackMatter vive?
Este archivo Martini.sys es esencial para el éxito de la campaña, argumentan, ya que el malware no continuará si el archivo no se encuentra en el punto final comprometido. Si la descarga se realiza correctamente, Martini.sys se utiliza para desactivar los productos antivirus instalados. El ransomware viene con una lista codificada de 991 procesos que deben finalizarse. La mayoría de ellos se relacionan con productos antivirus, herramientas de seguridad, herramientas de análisis y utilidades del sistema, se dijo.
Después de eliminar los programas de seguridad, Kasseika ejecutará el cifrador. El último paso es ejecutar un script clear.bat, eliminando todos los rastros del ataque.
Las víctimas del ransomware verán una nueva imagen de fondo de escritorio que les notificará del ataque. También recibirán una nota de rescate, pidiendo 50 Bitcoin (aproximadamente 2 millones de dólares a precios actuales) en un plazo de 72 horas a cambio de acceso a los dispositivos cifrados. Cada día adicional (hasta cinco días, máximo) costará $500,000 más.
Trend Micro cree que Kasseika es similar a BlackMatter, una variante de ransomware que desapareció en 2021. Como su código fuente nunca se publicó, los investigadores creen que Kasseika fue creado por las mismas personas o alguien logró comprar el código fuente de la web oscura. .
A través de pitidocomputadora