Kasseika Ransomware
Ransomware-gruppen ved navn Kasseika har for nylig adopteret Bring Your Own Vulnerable Driver (BYOVD) angrebsmetoden for at neutralisere sikkerhedsprocesser på kompromitterede Windows-systemer. Denne tilgang bringer Kasseika på linje med andre grupper såsom Akira , AvosLocker, BlackByte og RobbinHood , som også anvender BYOVD-teknikken til at slå anti-malware-processer og -tjenester fra, hvilket letter udrulningen af ransomware.
Oprindeligt identificeret af cybersikkerhedseksperter i midten af december 2023, deler Kasseika ligheder med den nu opløste BlackMatter- gruppe, som opstod efter lukningen af DarkSide . Der er indikationer, der tyder på, at ransomware-varianten forbundet med Kasseika kan være resultatet af, at en erfaren trusselsaktør har fået adgang til eller købt aktiver fra BlackMatter. Denne spekulation stammer fra det faktum, at BlackMatters kildekode ikke er blevet offentliggjort siden dens bortgang i november 2021.
Indholdsfortegnelse
Angrebsvektorer, der bruges til at inficere enheder med Kasseika Ransomware
Kasseikas angrebssekvenser indledes med en phishing-e-mail, der er designet til indledende adgang, efterfulgt af implementeringen af Remote Access Tools (RAT'er) for at opnå privilegeret adgang og navigere sideværts inden for det målrettede netværk. Navnlig er trusselsaktører inden for denne kampagne blevet observeret ved at bruge Microsofts Sysinternals PsExec-kommandolinjeværktøj til at udføre usikre batch-scripts. Dette script kontrollerer tilstedeværelsen af en proces kaldet 'Martini.exe' og, hvis det opdages, afslutter den for at sikre, at kun en enkelt forekomst af processen kører på maskinen.
Den primære rolle for den eksekverbare 'Martini.exe' er at downloade og udføre 'Martini.sys'-driveren fra en fjernserver. Denne driver er ansvarlig for at deaktivere 991 sikkerhedsværktøjer. Det er relevant at nævne, at 'Martini.sys' er en legitimt signeret driver med navnet 'viragt64.sys', men alligevel er den blevet inkluderet i Microsofts sårbare driverblokeringsliste. Hvis 'Martini.sys' ikke findes, stopper malwaren af sig selv, hvilket undgår yderligere eksekvering.
Efter denne fase starter 'Martini.exe' udførelsen af ransomware-nyttelasten, 'smartscreen_protected.exe', der er ansvarlig for krypteringsprocessen ved hjælp af ChaCha20 og RSA-algoritmer. Inden kryptering påbegyndes, afslutter den dog alle processer og tjenester, der er forbundet med Windows Genstartshåndtering.
Kasseika Ransomware kræver ublu løsepengebetalinger fra ofre
Efter kryptering deponeres en løsesumseddel i hver berørt mappe, ledsaget af en ændring af computerens tapet, der viser et krav om en 50-bitcoin-betaling til en specificeret tegnebogsadresse. Bestemmelsen er at foretage betalingen inden for 72 timer; ellers er der en trussel om at pådrage sig et ekstra gebyr på 500.000 USD hver 24. time, når fristen udløber.
Desuden er ofre forpligtet til at dele et skærmbillede, der bekræfter den vellykkede betaling i en skuespillerkontrolleret Telegram-gruppe for at modtage dekrypteringsværktøjet.
Kasseika Ransomware er udstyret med omfattende truende egenskaber
Ud over dets primære funktioner anvender Kasseika Ransomware yderligere taktik til at dække sine spor. En sådan teknik involverer at slette spor af dens aktiviteter ved at bruge wevtutil.exe binær til at rydde systemets hændelseslogfiler. Denne kommando sletter effektivt program-, sikkerheds- og systemhændelseslogfilerne på Windows-systemet. Ved at anvende denne metode fungerer ransomware diskret, hvilket øger vanskeligheden for sikkerhedsværktøjer til at opdage og reagere på ondsindede aktiviteter.
Kravet om løsepenge, som Kasseika Ransomware præsenterede for ofrene, lyder:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
