Программа-вымогатель Kasseika использует технику «приноси свой уязвимый драйвер» (Bring Your Own Vulnerable Driver, BYOVD) для отключения антивирусных программ перед шифрованием файлов жертвы.
В частности, авторы Kasseika выбрали драйвер Martini (Martini.sys/viragt64.sys), являющийся частью TG Soft VirtIT Agent System. Ранее вектор BYOVD использовался, например, для установки тулкита Sliver, пишет Anti-malware.ru.
Атаки Kasseika начинаются с фишингового письма, адресованного сотрудникам целевой организации. Цель – похитить учётные данные служащих, чтобы впоследствии использовать их для проникновения в сеть. Далее операторы вымогателя задействуют инструмент Windows PsExec для выполнения файлов в формате .bat, а последние проверяют наличие запущенного процесса «Martini.exe». Если вредонос находит такой процесс, он сразу завершает его. После этого в систему жертвы загружается уязвимый драйвер Martini.sys, при этом имеющий валидную цифровую подпись. Kasseika завершит работу, если ему не удастся запустить службу «Martini». После того как все антивирусы отключены, запускается бинарник самого компонента для шифрования – smartscreen_protected.exe, а скрипт «clear.bat» подчищает следы атаки.
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» отмечает, что последствия действий вирусов-шифровальщиков сложно устранять без потерь (финансовых, репутационных, или потери данных), поэтому важно искать способы для раннего обнаружения атаки. «Для обнаружения изменений в системе, таких как загрузка новых драйверов, изменение конфигураций, необходимо использовать наложенные средства защиты, такие как Efros Defence Operations. С его помощью у ИБ-специалистов появляется возможность раннего обнаружения изменений, происходящих в контролируемой системе. Таким образом, вероятность предотвращения атаки становится гораздо выше», – говорит Юлия Парфенова.