Шифровальщик Kasseika использует драйвер антивируса для отключения защиты
Главная » Новости

Шифровальщик Kasseika использует драйвер антивируса для отключения защиты

Екатерина Быстрова 24 Января 2024 - 09:06
...
Шифровальщик Kasseika использует драйвер антивируса для отключения защиты

Программа-вымогатель Kasseika использует технику «приноси свой уязвимый драйвер» (Bring Your Own Vulnerable Driver, BYOVD) для отключения антивирусных программ перед шифрованием файлов жертвы.

В частности, авторы Kasseika выбрали драйвер Martini (Martini.sys/viragt64.sys), являющийся частью TG Soft VirtIT Agent System. Ранее вектор BYOVD использовался, например, для установки тулкита Sliver.

Исследователи из Trend Micro первыми обнаружили Kasseika в декабре 2023 года. В отчёте компании отмечаются сходства этого шифровальщика с семейством BlackMatter.

Поскольку BlackMatter прекратил своё существование в конце 2021 года, специалисты считают, что за созданием Kasseika стоят либо бывшие операторы BlackMatter, либо купившие исходный код киберпреступники.

Атаки Kasseika начинаются с фишингового письма, адресованного сотрудникам целевой организации. Цель — обманом вытащить учётные данные служащих, чтобы впоследствии использовать их для проникновения в сеть.

Далее операторы вымогателя задействуют инструмент Windows PsExec для выполнения файлов в формате .bat, а последние проверяют наличие запущенного процесса «Martini.exe». Если вредонос находит такой процесс, он сразу завершает его.

После этого в систему жертвы загружается уязвимый драйвер Martini.sys, при этом имеющий валидную цифровую подпись:

 

Драйвер Martini.sys играет ключевую роль во всей цепочке: Kasseika завершит работу, если ему не удастся запустить службу «Martini». Техника BYOVD позволяет операторам шифровальщика останавливать 991 процессов в системе.

Все атакуемые процессы жёстко заданы в коде вредоноса, они относятся к антивирусным продуктам, защитным инструментам, софту для анализа и системным утилитам.

После того как все антивирусы отключены, запускается бинарник самого компонента для шифрования — smartscreen_protected.exe, а скрипт «clear.bat» подчищает следы атаки.

Жертве даётся 72 часа на оплату 50 биткоинов (около 177 740 000 рублей), после чего каждые 24 часа злоумышленники добавляют 500 тысяч долларов (44 435 000 руб.).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

PT MAZE: в России появился сервис для защиты мобильных приложений от взлома
Екатерина Быстрова 21 Мая 2025 - 15:02
AndroidiOS Малый и средний бизнесКорпорации Защита мобильных устройствЗащита мобильных устройств Positive Technologies
PT MAZE: в России появился сервис для защиты мобильных приложений от взлома

Positive Technologies представила PT MAZE — сервис для защиты мобильных приложений от реверс-инжиниринга. Это первый подобный инструмент на российском рынке, и его задача — усложнить жизнь киберпреступникам настолько, чтобы они просто отказались от попыток взлома.

Проблема слабой защиты кода остаётся актуальной. В рейтинге OWASP Top 10 она поднялась с 10-го места в 2014 году на 7-е — в 2024-м.

Реверс-инжиниринг позволяет злоумышленникам находить уязвимости, копировать приложения, похищать интеллектуальную собственность, модифицировать функции, а иногда и использовать такие атаки как точку входа в корпоративную инфраструктуру.

Весной 2025 года в Positive Technologies решили объединить накопленный за годы опыт в области анализа мобильных угроз и выпустить собственный инструмент, который делает взлом приложения более трудоёмким и затратным. Основная идея — превратить код в «лабиринт», через который будет сложно пройти даже опытному атакующему. В итоге — проще переключиться на другую, менее защищённую цель.

Сервис работает с Android и iOS. Защита включает автоматическую модификацию приложения: пользователь загружает файл на сервер, получает обратно версию с вшитыми защитными механизмами и может сразу использовать её. Есть готовые настройки, так что сложной конфигурации не требуется.

Основной интерес к сервису может быть у компаний, которые широко используют мобильные приложения в своей работе — например, в банковской сфере, финтехе и ретейле. Важно, что PT MAZE уже включён в реестр российского ПО, что упрощает его внедрение в тех организациях, где есть ограничения на использование зарубежных решений.

По словам специалистов, защиту кода стоит рассматривать не как «дополнительную опцию», а как один из способов минимизации рисков: от утечки пользовательских и платёжных данных до компрометации бизнес-инфраструктуры. Уязвимость внешнего мобильного сервиса — это потенциальная точка входа для более сложных атак.

Хотя тема противодействия реверс-инжинирингу в России пока мало развита, она становится всё более актуальной. И новый сервис — это один из шагов к тому, чтобы мобильные приложения становились менее уязвимыми для анализа и взлома.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В России утекло 1,58 млрд записей персональных данных в 2024 году
Новость
В России утекло 1,58 млрд записей персональных данных в 2024...
Из Steam удалили демо Sniper: Phantom’s Resolution из-за вредоноса
Новость
Из Steam удалили демо Sniper: Phantom’s Resolution из-за вре...
В «MiXX Вместе» появилась фильтрация контента от Solar webProxy
Новость
В «MiXX Вместе» появилась фильтрация контента от Solar webPr...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.