Kasseika Ransomware
Skupina ransomwaru s názvem Kasseika nedávno přijala metodu útoku Bring Your Own Vulnerable Driver (BYOVD) k neutralizaci bezpečnostních procesů na kompromitovaných systémech Windows. Tento přístup spojuje Kasseiku s dalšími skupinami, jako jsou Akira , AvosLocker, BlackByte a RobbinHood , které také využívají techniku BYOVD k vypnutí antimalwarových procesů a služeb, což usnadňuje nasazení ransomwaru.
Kasseika, která byla původně identifikována odborníky na kybernetickou bezpečnost v polovině prosince 2023, sdílí podobnosti s nyní již zrušenou skupinou BlackMatter , která vznikla po vypnutí DarkSide . Existují náznaky, které naznačují, že varianta ransomwaru spojená s Kasseikou může být výsledkem toho, že zkušený hrozba získá přístup nebo nákup aktiv od BlackMatter. Tato spekulace vychází ze skutečnosti, že zdrojový kód BlackMatter nebyl od jeho zániku v listopadu 2021 veřejně zveřejněn.
Obsah
Zaútočte na vektory používané k infikování zařízení ransomwarem Kasseika
Útočné sekvence společnosti Kasseika jsou zahájeny phishingovým e-mailem navrženým pro počáteční přístup, po kterém následuje nasazení nástrojů pro vzdálený přístup (RAT) k získání privilegovaného vstupu a boční navigaci v rámci cílové sítě. Je pozoruhodné, že aktéři hrozeb v rámci této kampaně byli pozorováni, jak používají nástroj příkazového řádku Sysinternals PsExec společnosti Microsoft ke spouštění nebezpečných dávkových skriptů. Tento skript kontroluje přítomnost procesu nazvaného 'Martini.exe' a pokud je detekován, ukončí jej, aby bylo zajištěno, že na počítači běží pouze jedna instance procesu.
Primární role spustitelného souboru 'Martini.exe' je stáhnout a spustit ovladač 'Martini.sys' ze vzdáleného serveru. Tento ovladač je zodpovědný za deaktivaci nástrojů zabezpečení 991. Je vhodné zmínit, že 'Martini.sys' je legitimně podepsaný ovladač s názvem 'viragt64.sys', přesto byl zahrnut do seznamu zranitelných ovladačů společnosti Microsoft. Pokud není „Martini.sys“ nalezen, malware se sám ukončí a zabrání dalšímu spuštění.
Po této fázi zahájí „Martini.exe“ spuštění datové části ransomwaru „smartscreen_protected.exe“, která je zodpovědná za proces šifrování pomocí algoritmů ChaCha20 a RSA. Před zahájením šifrování však ukončí všechny procesy a služby spojené se Správcem restartu systému Windows.
Kasseika Ransomware vyžaduje od obětí přemrštěné výkupné
Po zašifrování je do každého postiženého adresáře uložena výkupná, doprovázená úpravou tapety počítače zobrazující požadavek na platbu 50 bitcoinů na zadanou adresu peněženky. Podmínkou je provést platbu do 72 hodin; v opačném případě hrozí, že po uplynutí lhůty bude každých 24 hodin účtováno dalších 500 000 USD.
Kromě toho musí oběti sdílet snímek obrazovky potvrzující úspěšnou platbu ve skupině telegramů ovládané hercem, aby obdržely dešifrovací nástroj.
Kasseika Ransomware je vybaven rozsáhlými schopnostmi ohrožovat
Kromě svých primárních funkcí využívá Kasseika Ransomware další taktiky, aby zakryl své stopy. Jedna taková technika zahrnuje vymazání stop jeho aktivit pomocí binárky wevtutil.exe k vymazání systémových protokolů událostí. Tento příkaz účinně vymaže protokoly událostí aplikací, zabezpečení a systému v systému Windows. Využitím této metody ransomware funguje diskrétně, což zvyšuje obtížnost bezpečnostních nástrojů detekovat škodlivé aktivity a reagovat na ně.
Žádost o výkupné předložená obětem ransomwaru Kasseika zní:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
