Kasseika Ransomware
Групата за рансъмуер, наречена Kasseika, наскоро прие метода за атака Bring Your Own Vulnerable Driver (BYOVD), за да неутрализира процесите на сигурност на компрометирани Windows системи. Този подход изравнява Kasseika с други групи като Akira , AvosLocker, BlackByte и RobbinHood , които също използват техниката BYOVD за изключване на процеси и услуги срещу зловреден софтуер, улеснявайки внедряването на ransomware.
Първоначално идентифициран от експерти по киберсигурност в средата на декември 2023 г., Kasseika споделя прилики с вече разпуснатата група BlackMatter , която се появи след затварянето на DarkSide . Има индикации, които предполагат, че вариантът на ransomware, свързан с Kasseika, може да е резултат от опитен актьор, който е получил достъп до или закупил активи от BlackMatter. Тази спекулация произтича от факта, че изходният код на BlackMatter не е бил публично разкрит от смъртта му през ноември 2021 г.
Съдържание
Атакуващи вектори, използвани за заразяване на устройства с Kasseika Ransomware
Последователностите от атаки на Kasseika започват с фишинг имейл, предназначен за първоначален достъп, последван от внедряване на инструменти за отдалечен достъп (RATs) за придобиване на привилегирован достъп и странично навигиране в рамките на целевата мрежа. За отбелязване е, че участниците в заплахата в рамките на тази кампания са били наблюдавани да използват помощната програма за команден ред Sysinternals PsExec на Microsoft за изпълнение на опасен пакетен скрипт. Този скрипт проверява за наличието на процес, наречен „Martini.exe“, и ако бъде открит, го прекратява, за да гарантира, че само един екземпляр на процеса работи на машината.
Основната роля на изпълнимия файл „Martini.exe“ е да изтегли и изпълни драйвера „Martini.sys“ от отдалечен сървър. Този драйвер е отговорен за деактивирането на 991 инструменти за сигурност. Уместно е да споменем, че „Martini.sys“ е законно подписан драйвер с името „viragt64.sys“, но въпреки това е включен в списъка за блокиране на уязвими драйвери на Microsoft. Ако „Martini.sys“ не бъде намерен, злонамереният софтуер се прекратява, избягвайки по-нататъшно изпълнение.
След тази фаза „Martini.exe“ инициира изпълнението на полезния товар на ransomware „smartscreen_protected.exe“, отговорен за процеса на криптиране с помощта на ChaCha20 и RSA алгоритми. Въпреки това, преди да започне криптиране, той прекратява всички процеси и услуги, свързани с Windows Restart Manager.
Рансъмуерът Kasseika изисква прекомерни плащания на откуп от жертвите
След криптирането във всяка засегната директория се депозира бележка за откуп, придружена от модификация на тапета на компютъра, показваща искане за плащане от 50 биткойни до определен адрес на портфейла. Уговорката е плащането да се извърши до 72 часа; в противен случай съществува заплаха от начисляване на допълнителна такса от $500 000 на всеки 24 часа след изтичане на крайния срок.
Освен това от жертвите се изисква да споделят екранна снимка, потвърждаваща успешното плащане в контролирана от актьор група в Telegram, за да получат инструмента за дешифриране.
Рансъмуерът Kasseika е оборудван с широки заплашителни възможности
В допълнение към основните си функции, Kasseika Ransomware използва допълнителни тактики, за да прикрие следите си. Една такава техника включва изтриване на следи от неговите дейности чрез използване на двоичния файл wevtutil.exe за изчистване на регистрационните файлове на системните събития. Тази команда ефективно изтрива регистрационните файлове на приложението, сигурността и системните събития в системата Windows. Използвайки този метод, рансъмуерът работи дискретно, като увеличава трудността на инструментите за сигурност да откриват и реагират на злонамерени дейности.
Искането за откуп, представено от Kasseika Ransomware на жертвите, гласи:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
