Kasseika Ransomware
اعتمدت مجموعة برامج الفدية المسماة Kasseika مؤخرًا طريقة الهجوم Bring Your Own Vulnerable Driver (BYOVD) لتحييد عمليات الأمان على أنظمة Windows المعرضة للخطر. يعمل هذا النهج على محاذاة Kasseika مع مجموعات أخرى مثل Akira و AvosLocker و BlackByte و RobinHood ، الذين يستخدمون أيضًا تقنية BYOVD لإيقاف عمليات وخدمات مكافحة البرامج الضارة، مما يسهل نشر برامج الفدية.
تم تحديد Kasseika في البداية من قبل خبراء الأمن السيبراني في منتصف ديسمبر 2023، وتشترك في أوجه التشابه مع مجموعة BlackMatter التي تم حلها الآن، والتي ظهرت بعد إغلاق DarkSide . هناك دلائل تشير إلى أن متغير برنامج الفدية المرتبط بـ Kasseika قد يكون نتيجة لجهة تهديد ذات خبرة حصلت على إمكانية الوصول إلى الأصول من BlackMatter أو شرائها. تنشأ هذه التكهنات من حقيقة أن كود مصدر BlackMatter لم يتم الكشف عنه علنًا منذ زواله في نوفمبر 2021.
جدول المحتويات
نواقل الهجوم المُستخدمة لإصابة الأجهزة باستخدام برنامج Kasseika Ransomware
تبدأ تسلسلات هجوم Kasseika برسالة بريد إلكتروني تصيدية مصممة للوصول الأولي، يليها نشر أدوات الوصول عن بعد (RATs) للحصول على دخول مميز والتنقل أفقيًا داخل الشبكة المستهدفة. ومن الجدير بالذكر أن الجهات الفاعلة في هذه الحملة قد لوحظت وهي تستخدم أداة سطر الأوامر Sysinternals PsExec من Microsoft لتنفيذ برنامج نصي دفعي غير آمن. يتحقق هذا البرنامج النصي من وجود عملية تسمى "Martini.exe"، وإذا تم اكتشافها، فإنه ينهيها لضمان تشغيل نسخة واحدة فقط من العملية على الجهاز.
يتمثل الدور الأساسي للملف القابل للتنفيذ "Martini.exe" في تنزيل برنامج التشغيل "Martini.sys" وتنفيذه من خادم بعيد. برنامج التشغيل هذا مسؤول عن تعطيل أدوات الأمان 991. ومن الجدير بالذكر أن "Martini.sys" هو برنامج تشغيل موقّع بشكل قانوني يحمل الاسم "viragt64.sys"، ومع ذلك فقد تم تضمينه في قائمة حظر برامج التشغيل الضعيفة لدى Microsoft. إذا لم يتم العثور على 'Martini.sys'، فإن البرنامج الضار ينهي نفسه، ويتجنب المزيد من التنفيذ.
بعد هذه المرحلة، يبدأ "Martini.exe" في تنفيذ حمولة برامج الفدية، "smartscreen_protected.exe"، المسؤولة عن عملية التشفير باستخدام خوارزميات ChaCha20 وRSA. ومع ذلك، قبل بدء التشفير، فإنه ينهي جميع العمليات والخدمات المرتبطة بـ Windows Restart Manager.
يتطلب برنامج Kasseika Ransomware دفع فدية باهظة من الضحايا
بعد التشفير، يتم إيداع مذكرة فدية في كل دليل متأثر، مصحوبة بتعديل خلفية الكمبيوتر لعرض طلب دفع 50 بيتكوين إلى عنوان محفظة محدد. الشرط هو أن يتم الدفع خلال 72 ساعة؛ وبخلاف ذلك، سيكون هناك تهديد بتكبد رسوم إضافية بقيمة 500000 دولار كل 24 ساعة بمجرد انتهاء الموعد النهائي.
علاوة على ذلك، يُطلب من الضحايا مشاركة لقطة شاشة تؤكد الدفع الناجح في مجموعة Telegram التي يسيطر عليها الممثل للحصول على أداة فك التشفير.
تم تجهيز برنامج Kasseika Ransomware بقدرات تهديد واسعة النطاق
بالإضافة إلى وظائفه الأساسية، يستخدم برنامج Kasseika Ransomware تكتيكات إضافية لتغطية مساراته. تتضمن إحدى هذه التقنيات مسح آثار أنشطتها من خلال استخدام الملف الثنائي wevtutil.exe لمسح سجلات أحداث النظام. يقوم هذا الأمر بمسح سجلات أحداث التطبيق والأمان والنظام بكفاءة على نظام Windows. ومن خلال استخدام هذه الطريقة، يعمل برنامج الفدية بسرية، مما يزيد من صعوبة اكتشاف الأدوات الأمنية للأنشطة الضارة والرد عليها.
نص طلب الفدية المقدم من برنامج Kasseika Ransomware للضحايا هو:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
