Вымогатель Kasseika обновился, но по-прежнему используется для BYOVD-атак

Обновленная версия программы-вымогателя  Kasseika активно используется в атаках типа BYOVD (bring-your-own-vulnerable-driver, то есть в буквальном переводе «принеси свой уязвимый драйвер»). Программа позволяет отключить антивирус устройства перед шифрованием файлов, используя для этого драйвер Martini (Martini.sys/viragt64.sys).

Изучая особенности исходного кода Kasseika, исследователи обнаружили сходство с BlackMatter. Исходя из этого, было высказано предположение, что к созданию нового вымогателя могут быть причастны бывшие члены этой группировки.

В организацию отправляются фишинговые электронные письма, нацеленные на кражу данных аккаунтов. Далее используется Windows PsExec для выполнения вредоносного файла .bat. После этого завершается процесс файла «Martini.exe» при его наличии и загружается Martini.sys. Для шифрования файлов используются алгоритмы ChaCha20 и RSA.

В Trend Micro отметили, что жертвам обычно дается 72 часа на выплату в 50 биткоинов. Если они не выполняют требования вымогателей, каждый сутки к сумме добавляется 500 тысяч долларов.