Kasseika Ransomware

কাসেইকা নামের র‍্যানসমওয়্যার গ্রুপটি সম্প্রতি আপস করা উইন্ডোজ সিস্টেমে নিরাপত্তা প্রক্রিয়া নিরপেক্ষ করার জন্য Bring Your Own Vulnerable Driver (BYOVD) আক্রমণ পদ্ধতি গ্রহণ করেছে। এই পদ্ধতিটি কাসেইকাকে আকিরা , অ্যাভোসলকার, ব্ল্যাকবাইট এবং রবিনহুডের মতো অন্যান্য গোষ্ঠীর সাথে সারিবদ্ধ করে, যারা অ্যান্টি-ম্যালওয়্যার প্রক্রিয়া এবং পরিষেবাগুলি বন্ধ করার জন্য BYOVD কৌশল ব্যবহার করে, র্যানসমওয়্যার স্থাপনের সুবিধা দেয়।

প্রাথমিকভাবে 2023 সালের ডিসেম্বরের মাঝামাঝি সাইবারসিকিউরিটি বিশেষজ্ঞদের দ্বারা চিহ্নিত করা হয়েছে, কাসেইকা এখন-বিচ্ছিন্ন ব্ল্যাকম্যাটার গ্রুপের সাথে মিল রয়েছে, যেটি ডার্কসাইড বন্ধ হওয়ার পরে আবির্ভূত হয়েছিল। এমন ইঙ্গিত রয়েছে যে কাসেইকার সাথে যুক্ত র্যানসমওয়্যার ভেরিয়েন্টটি ব্ল্যাকম্যাটারের কাছ থেকে সম্পদে অ্যাক্সেস পেতে বা কেনার জন্য অভিজ্ঞ হুমকি অভিনেতার ফলাফল হতে পারে। 2021 সালের নভেম্বরে ব্ল্যাকম্যাটারের মৃত্যুর পর থেকে ব্ল্যাকম্যাটারের সোর্স কোড সর্বজনীনভাবে প্রকাশ করা হয়নি এই জল্পনাটি থেকে উদ্ভূত হয়েছে।

Kasseika Ransomware দিয়ে ডিভাইসগুলিকে সংক্রমিত করতে ব্যবহৃত অ্যাটাক ভেক্টর

কাসেইকার আক্রমণের ক্রমগুলি প্রাথমিক অ্যাক্সেসের জন্য ডিজাইন করা একটি ফিশিং ইমেল দিয়ে শুরু হয়, তারপরে বিশেষ সুবিধাপ্রাপ্ত এন্ট্রি অর্জনের জন্য এবং লক্ষ্যযুক্ত নেটওয়ার্কের মধ্যে পার্শ্বীয়ভাবে নেভিগেট করার জন্য রিমোট অ্যাক্সেস টুলস (RATs) স্থাপন করা হয়। উল্লেখযোগ্যভাবে, এই প্রচারাভিযানের মধ্যে হুমকি অভিনেতারা অনিরাপদ ব্যাচ স্ক্রিপ্ট চালানোর জন্য মাইক্রোসফ্টের সিসিনটার্নাল PsExec কমান্ড-লাইন ইউটিলিটি নিয়োগ করতে দেখা গেছে। এই স্ক্রিপ্টটি 'Martini.exe' নামক একটি প্রক্রিয়ার উপস্থিতির জন্য পরীক্ষা করে এবং, যদি সনাক্ত করা হয়, তবে প্রক্রিয়াটির শুধুমাত্র একটি একক দৃষ্টান্ত মেশিনে চলে তা নিশ্চিত করার জন্য এটি বন্ধ করে দেয়।

'Martini.exe' এক্সিকিউটেবলের প্রাথমিক ভূমিকা হল দূরবর্তী সার্ভার থেকে 'Martini.sys' ড্রাইভার ডাউনলোড করা এবং চালানো। এই ড্রাইভার 991 নিরাপত্তা সরঞ্জাম নিষ্ক্রিয় জন্য দায়ী. এটি উল্লেখ করা প্রাসঙ্গিক যে 'Martini.sys' একটি বৈধভাবে স্বাক্ষরিত ড্রাইভার যার নাম 'viragt64.sys', তবুও এটি মাইক্রোসফটের দুর্বল ড্রাইভার ব্লকলিস্টে অন্তর্ভুক্ত করা হয়েছে। 'Martini.sys' পাওয়া না গেলে, ম্যালওয়্যারটি নিজেকে শেষ করে দেয়, আরও কার্যকর করা এড়িয়ে যায়।

এই পর্যায় অনুসরণ করে, 'Martini.exe' র্যানসমওয়্যার পেলোডের সম্পাদন শুরু করে, 'smartscreen_protected.exe', যা ChaCha20 এবং RSA অ্যালগরিদম ব্যবহার করে এনক্রিপশন প্রক্রিয়ার জন্য দায়ী। যাইহোক, এনক্রিপশন শুরু করার আগে, এটি উইন্ডোজ রিস্টার্ট ম্যানেজারের সাথে যুক্ত সমস্ত প্রক্রিয়া এবং পরিষেবা বন্ধ করে দেয়।

কাসেইকা র‍্যানসমওয়্যার ভিকটিমদের কাছ থেকে অত্যধিক মুক্তিপণ পেমেন্ট দাবি করে

এনক্রিপশন অনুসরণ করে, প্রভাবিত প্রতিটি ডিরেক্টরিতে একটি মুক্তিপণ নোট জমা করা হয়, যার সাথে কম্পিউটারের ওয়ালপেপারের একটি পরিবর্তনের সাথে একটি নির্দিষ্ট ওয়ালেট ঠিকানায় 50-বিটকয়েন অর্থপ্রদানের দাবি প্রদর্শন করা হয়। শর্ত হল 72 ঘন্টার মধ্যে অর্থপ্রদান করতে হবে; অন্যথায়, সময়সীমা শেষ হয়ে গেলে প্রতি 24 ঘন্টায় অতিরিক্ত $500,000 চার্জ নেওয়ার হুমকি রয়েছে।

তদুপরি, ডিক্রিপশন টুল পাওয়ার জন্য একজন অভিনেতা-নিয়ন্ত্রিত টেলিগ্রাম গ্রুপে সফল অর্থপ্রদানের বিষয়টি নিশ্চিত করে ক্ষতিগ্রস্তদের একটি স্ক্রিনশট শেয়ার করতে হবে।

কাসেইকা র‍্যানসমওয়্যার ব্যাপক হুমকির ক্ষমতা দিয়ে সজ্জিত

এর প্রাথমিক ফাংশনগুলি ছাড়াও, কাসেইকা র‍্যানসমওয়্যার তার ট্র্যাকগুলি কভার করার জন্য অতিরিক্ত কৌশল নিযুক্ত করে। সিস্টেমের ইভেন্ট লগগুলি সাফ করার জন্য wevtutil.exe বাইনারি ব্যবহার করে এর ক্রিয়াকলাপের চিহ্ন মুছে ফেলার মতো একটি কৌশল জড়িত। এই কমান্ড দক্ষতার সাথে উইন্ডোজ সিস্টেমে অ্যাপ্লিকেশন, নিরাপত্তা, এবং সিস্টেম ইভেন্ট লগ মুছে দেয়। এই পদ্ধতি ব্যবহার করে, র‍্যানসমওয়্যারটি বিচক্ষণতার সাথে কাজ করে, নিরাপত্তা সরঞ্জামগুলির জন্য ক্ষতিকারক কার্যকলাপ সনাক্ত করতে এবং প্রতিক্রিয়া জানাতে অসুবিধা বাড়ায়।

ভুক্তভোগীদের কাছে কাসেইকা র‍্যানসমওয়্যার দ্বারা উপস্থাপিত মুক্তিপণের দাবিটি পড়ে:

  'Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'