Kasseika Ransomware
Η ομάδα ransomware με το όνομα Kasseika υιοθέτησε πρόσφατα τη μέθοδο επίθεσης Bring Your Own Vulnerable Driver (BYOVD) για να εξουδετερώσει τις διαδικασίες ασφαλείας σε παραβιασμένα συστήματα Windows. Αυτή η προσέγγιση ευθυγραμμίζει την Kasseika με άλλες ομάδες όπως οι Akira , AvosLocker, BlackByte και RobbinHood , οι οποίοι χρησιμοποιούν επίσης την τεχνική BYOVD για να απενεργοποιήσουν διαδικασίες και υπηρεσίες κατά του κακόβουλου λογισμικού, διευκολύνοντας την ανάπτυξη ransomware.
Αρχικά εντοπίστηκε από ειδικούς στον τομέα της κυβερνοασφάλειας στα μέσα Δεκεμβρίου 2023, η Kasseika μοιράζεται ομοιότητες με την πλέον διαλυμένη ομάδα BlackMatter , η οποία εμφανίστηκε μετά το κλείσιμο του DarkSide . Υπάρχουν ενδείξεις που υποδηλώνουν ότι η παραλλαγή ransomware που σχετίζεται με το Kasseika μπορεί να είναι το αποτέλεσμα ενός έμπειρου παράγοντα απειλής που αποκτά πρόσβαση ή αγοράζει περιουσιακά στοιχεία από το BlackMatter. Αυτή η εικασία προκύπτει από το γεγονός ότι ο πηγαίος κώδικας του BlackMatter δεν έχει αποκαλυφθεί δημόσια από την κατάργησή του, τον Νοέμβριο του 2021.
Πίνακας περιεχομένων
Διανύσματα επίθεσης που χρησιμοποιούνται για τη μόλυνση συσκευών με το Kasseika Ransomware
Οι ακολουθίες επίθεσης του Kasseika ξεκινούν με ένα ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος που έχει σχεδιαστεί για αρχική πρόσβαση, ακολουθούμενο από την ανάπτυξη των Εργαλείων Απομακρυσμένης Πρόσβασης (RAT) για την απόκτηση προνομιακής εισόδου και την πλευρική πλοήγηση εντός του στοχευμένου δικτύου. Σημειωτέον, οι παράγοντες απειλών σε αυτήν την καμπάνια έχουν παρατηρηθεί να χρησιμοποιούν το βοηθητικό πρόγραμμα γραμμής εντολών Sysinternals PsExec της Microsoft για την εκτέλεση μη ασφαλών δέσμης ενεργειών. Αυτή η δέσμη ενεργειών ελέγχει για την παρουσία μιας διαδικασίας που ονομάζεται "Martini.exe" και, εάν εντοπιστεί, την τερματίζει για να διασφαλίσει ότι μόνο μία παρουσία της διαδικασίας εκτελείται στο μηχάνημα.
Ο πρωταρχικός ρόλος του εκτελέσιμου αρχείου "Martini.exe" είναι η λήψη και η εκτέλεση του προγράμματος οδήγησης "Martini.sys" από έναν απομακρυσμένο διακομιστή. Αυτό το πρόγραμμα οδήγησης είναι υπεύθυνο για την απενεργοποίηση των εργαλείων ασφαλείας 991. Είναι σκόπιμο να αναφέρουμε ότι το "Martini.sys" είναι ένα νόμιμα υπογεγραμμένο πρόγραμμα οδήγησης με το όνομα "viragt64.sys", ωστόσο έχει συμπεριληφθεί στη λίστα αποκλεισμού ευάλωτων προγραμμάτων οδήγησης της Microsoft. Εάν δεν βρεθεί το "Martini.sys", το κακόβουλο λογισμικό τερματίζεται μόνο του, αποφεύγοντας περαιτέρω εκτέλεση.
Μετά από αυτήν τη φάση, το "Martini.exe" ξεκινά την εκτέλεση του ωφέλιμου φορτίου ransomware, "smartscreen_protected.exe", που είναι υπεύθυνο για τη διαδικασία κρυπτογράφησης χρησιμοποιώντας αλγόριθμους ChaCha20 και RSA. Ωστόσο, πριν ξεκινήσει η κρυπτογράφηση, τερματίζει όλες τις διαδικασίες και τις υπηρεσίες που σχετίζονται με το Windows Restart Manager.
Το Kasseika Ransomware απαιτεί υπέρογκες πληρωμές λύτρων από τα θύματα
Μετά την κρυπτογράφηση, ένα σημείωμα λύτρων κατατίθεται σε κάθε κατάλογο που επηρεάζεται, συνοδευόμενο από μια τροποποίηση της ταπετσαρίας του υπολογιστή που εμφανίζει αίτημα για πληρωμή 50 bitcoin σε μια καθορισμένη διεύθυνση πορτοφολιού. Η προϋπόθεση είναι να γίνει η πληρωμή εντός 72 ωρών. Διαφορετικά, υπάρχει κίνδυνος να επιβαρυνθείτε με επιπλέον χρέωση 500.000 $ κάθε 24 ώρες μετά τη λήξη της προθεσμίας.
Επιπλέον, τα θύματα πρέπει να κοινοποιήσουν ένα στιγμιότυπο οθόνης που επιβεβαιώνει την επιτυχή πληρωμή σε μια ομάδα Telegram που ελέγχεται από ηθοποιούς για να λάβουν το εργαλείο αποκρυπτογράφησης.
Το Kasseika Ransomware είναι εξοπλισμένο με εκτεταμένες απειλητικές δυνατότητες
Εκτός από τις κύριες λειτουργίες του, το Kasseika Ransomware χρησιμοποιεί πρόσθετες τακτικές για να καλύψει τα ίχνη του. Μια τέτοια τεχνική περιλαμβάνει τη διαγραφή ιχνών των δραστηριοτήτων της χρησιμοποιώντας το δυαδικό αρχείο wevtutil.exe για την εκκαθάριση των αρχείων καταγραφής συμβάντων του συστήματος. Αυτή η εντολή διαγράφει αποτελεσματικά τα αρχεία καταγραφής συμβάντων εφαρμογής, ασφάλειας και συστήματος στο σύστημα των Windows. Χρησιμοποιώντας αυτή τη μέθοδο, το ransomware λειτουργεί διακριτικά, αυξάνοντας τη δυσκολία των εργαλείων ασφαλείας να ανιχνεύουν και να ανταποκρίνονται σε κακόβουλες δραστηριότητες.
Η απαίτηση λύτρων που υποβλήθηκε από το Kasseika Ransomware στα θύματα αναφέρει:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
