O grupo de ransomware conhecido como Kasseika tornou-se o mais recente a utilizar a técnica Bring Your Own Vulnerable Driver (BYOVD) para desativar processos relacionados à segurança em hosts Windows comprometidos. Esta tática permite que os atores de ameaças terminem processos e serviços de antivírus para a implantação de ransomware, segundo uma análise da Trend Micro.

Kasseika, descoberto pela primeira vez pela empresa de cibersegurança em meados de dezembro de 2023, exibe semelhanças com o agora extinto BlackMatter, que surgiu após o encerramento do DarkSide.

Há evidências de que a cepa de ransomware pode ser obra de um ator de ameaças experiente que adquiriu ou comprou acesso ao BlackMatter, dado que o código-fonte deste último nunca vazou publicamente após seu fim em novembro de 2021.

As cadeias de ataque envolvendo Kasseika começam com um e-mail de phishing para acesso inicial, seguido pela instalação de ferramentas de administração remota (RATs) para obter acesso privilegiado e mover-se lateralmente dentro da rede alvo. Os atores de ameaças foram observados utilizando a utilidade de linha de comando PsExec da Sysinternals da Microsoft para executar um script malicioso em lote, que verifica a existência de um processo chamado “Martini.exe” e, se encontrado, o encerra para garantir que haja apenas uma instância do processo executando na máquina.

A principal responsabilidade do executável é baixar e executar o driver “Martini.sys” de um servidor remoto para desativar 991 ferramentas de segurança. É importante notar que “Martini.sys” é um driver legítimo assinado chamado “viragt64.sys” que foi adicionado à lista de bloqueio de drivers vulneráveis da Microsoft.