Die Ransomware-Gruppe Kasseika hat eine neue Methode entwickelt, um Sicherheitsprozesse auf kompromittierten Windows-Hosts zu deaktivieren. Dabei nutzen sie den sogenannten „Bring Your Own Vulnerable Driver“ (BYOVD) -Angriff. Diese Taktik ermöglicht es den Angreifern, Antivirenprozesse zu beenden und Ransomware zu installieren. Kasseika wurde erstmals im Dezember 2023 von dem Cybersecurity-Unternehmen entdeckt und weist Ähnlichkeiten mit der bereits eingestellten Ransomware-Gruppe BlackMatter auf. Es besteht die Vermutung, dass die neue Ransomware von einem erfahrenen Angreifer entwickelt wurde, der Zugriff auf BlackMatter erworben oder gekauft hat. Für den Angriffsbeginn verwenden die Angreifer Phishing-E-Mails, um Zugang zu erhalten. Anschließend setzen sie Remote-Administrationstools ein, um privilegierten Zugriff auf das Netzwerk zu erhalten. Dabei nutzen sie das Sysinternals PsExec-Befehlszeilen-Dienstprogramm von Microsoft, um ein bösartiges Batch-Skript auszuführen. Dieses prüft auf das Vorhandensein eines Prozesses namens „Martini.exe“ und beendet ihn, falls er vorhanden ist. Dadurch wird sichergestellt, dass nur eine Instanz des Prozesses auf dem Computer läuft. Der Prozess lädt dann den „Martini.sys“-Treiber von einem Remote-Server herunter, um 991 Sicherheitstools zu deaktivieren. Danach wird die Ransomware ausgeführt, die mithilfe von ChaCha20- und RSA-Algorithmen die Verschlüsselung durchführt. Alle Prozesse und Dienste, die auf den Windows Restart Manager zugreifen, werden vorher beendet. Die Ransomware hinterlässt eine Lösegeldforderung in jedem verschlüsselten Verzeichnis und ändert den Hintergrund des Computers, um eine Zahlung von 50 Bitcoin innerhalb von 72 Stunden zu fordern. Zusätzlich wird den Opfern vorgeschrieben, einen Screenshot der erfolgreichen Zahlung in einer Telegramm-Gruppe der Angreifer zu veröffentlichen, um einen Entschlüsselungsschlüssel zu erhalten. Die Kasseika-Ransomware verwendet auch das Tool „wevtutil.exe“, um die Ereignisprotokolle des Systems zu löschen und ihre Aktivitäten zu verbergen. Diese neue Entwicklung erfolgt zeitgleich mit einer Änderung der Taktik der Ransomware-Gruppe BianLian von Doppel-Erpressung zu Angriffen ohne Verschlüsselung. Die Gruppe hat seit September 2022 zahlreiche Angriffe durchgeführt und vor allem den Gesundheits-, Fertigungs-, professionellen und juristischen Dienstleistungssektor in den USA, Großbritannien, Kanada, Indien, Australien, Brasilien, Ägypten, Frankreich, Deutschland und Spanien ins Visier genommen. Die Gruppe nutzt gestohlene Remote-Desktop-Protokoll (RDP)-Anmeldeinformationen und bekannte Sicherheitslücken (z. B. ProxyShell) als häufigste Angriffsmethoden. Es besteht auch eine Verbindung zur Ransomware-Gruppe Makop, da beide Gruppen ein gemeinsames .NET-Tool verwenden.