Kasseika Ransomware
Lunavaragrupp nimega Kasseika võttis hiljuti kasutusele ründemeetodi Bring Your Own Vulnerable Driver (BYOVD), et neutraliseerida turvaprotsessid ohustatud Windowsi süsteemides. See lähenemine joondab Kasseika teiste rühmadega, nagu Akira , AvosLocker, BlackByte ja RobbinHood , kes samuti kasutavad BYOVD tehnikat pahavaravastaste protsesside ja teenuste väljalülitamiseks, hõlbustades lunavara juurutamist.
Küberjulgeolekueksperdid tuvastasid 2023. aasta detsembri keskel ja Kasseika jagab sarnasusi nüüdseks laiali läinud BlackMatteri grupiga, mis tekkis pärast DarkSide'i sulgemist. On viiteid, mis viitavad sellele, et Kasseikaga seotud lunavaravariant võib olla tingitud sellest, et kogenud ohus osaleja on saanud juurdepääsu BlackMatterilt varadele või ostnud selle. See spekulatsioon tuleneb tõsiasjast, et BlackMatteri lähtekoodi ei ole avalikult avaldatud alates selle surmast 2021. aasta novembris.
Sisukord
Rünnakuvektorid, mida kasutatakse seadmete nakatamiseks Kasseika lunavaraga
Kasseika ründejärjestused algavad esmaseks juurdepääsuks mõeldud andmepüügimeiliga, millele järgneb kaugjuurdepääsu tööriistade (RAT) juurutamine, et omandada privilegeeritud sisenemine ja sihitud võrgus külgsuunas navigeerida. Eelkõige on selles kampaanias täheldatud ohutegureid, kes kasutavad Microsofti Sysinternals PsExec käsurea utiliiti ebaturvalise pakkskripti käivitamiseks. See skript kontrollib protsessi nimega 'Martini.exe' olemasolu ja tuvastamise korral lõpetab selle tagamaks, et masinas töötaks ainult üks protsessi eksemplar.
Käivitatava faili „Martini.exe” peamine roll on draiveri „Martini.sys” allalaadimine ja käivitamine kaugserverist. See draiver vastutab 991 turvatööriistade keelamise eest. On asjakohane mainida, et "Martini.sys" on seaduslikult allkirjastatud draiver nimega "viragt64.sys", kuid see on lisatud Microsofti haavatavate draiverite blokeerimisloendisse. Kui 'Martini.sys' ei leita, lõpetab pahavara end ise, vältides edasist käivitamist.
Pärast seda faasi käivitab 'Martini.exe' lunavara kasuliku koormuse 'smartscreen_protected.exe' täitmise, mis vastutab ChaCha20 ja RSA algoritmide abil krüpteerimisprotsessi eest. Enne krüptimise alustamist lõpetab see aga kõik Windowsi taaskäivitushalduriga seotud protsessid ja teenused.
Kasseika lunavara nõuab ohvritelt üüratuid lunaraha
Pärast krüptimist deponeeritakse igasse mõjutatud kataloogi lunaraha, millega kaasneb arvuti taustapildi muudatus, mis kuvab nõude 50-bitcoini makseks määratud rahakotiaadressile. Tingimuseks on tasuda 72 tunni jooksul; vastasel juhul on pärast tähtaja möödumist oht saada iga 24 tunni järel 500 000 dollari suurune lisatasu.
Lisaks peavad ohvrid dekrüpteerimistööriista saamiseks jagama ekraanipilti, mis kinnitab edukat makset näitleja juhitavas Telegrami grupis.
Kasseika lunavara on varustatud ulatuslike ähvardamisvõimalustega
Lisaks oma põhifunktsioonidele kasutab Kasseika Ransomware oma jälgede katmiseks täiendavat taktikat. Üks selline tehnika hõlmab selle tegevuse jälgede kustutamist, kasutades süsteemi sündmuste logide kustutamiseks binaarfaili wevtutil.exe. See käsk kustutab tõhusalt rakenduste, turvalisuse ja süsteemi sündmuste logid Windowsi süsteemis. Seda meetodit kasutades töötab lunavara diskreetselt, suurendades turvatööriistade raskusi pahatahtlike tegevuste tuvastamisel ja sellele reageerimisel.
Kasseika Ransomware poolt ohvritele esitatud lunarahanõue on järgmine:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
