Kasseika Ransomware
گروه باجافزاری به نام Kasseika اخیراً روش حمله خود را با راننده آسیبپذیر بیاورید (BYOVD) را برای خنثی کردن فرآیندهای امنیتی در سیستمهای ویندوزی به خطر انداخته است. این رویکرد Kasseika را با گروههای دیگری مانند Akira ، AvosLocker، BlackByte و RobbinHood همسو میکند، که از تکنیک BYOVD برای خاموش کردن فرآیندها و خدمات ضد بدافزار استفاده میکنند و استقرار باجافزار را تسهیل میکنند.
کاسیکا که در ابتدا توسط کارشناسان امنیت سایبری در اواسط دسامبر 2023 شناسایی شد، شباهت هایی با گروه منحل شده BlackMatter دارد که پس از تعطیلی DarkSide پدیدار شد. نشانههایی وجود دارد که نشان میدهد نوع باجافزار مرتبط با Kasseika ممکن است نتیجه یک عامل تهدید با تجربه باشد که به BlackMatter دسترسی پیدا کرده یا داراییهایی را خریداری کرده است. این گمانه زنی از این واقعیت ناشی می شود که کد منبع BlackMatter از زمان مرگ آن در نوامبر 2021 به طور عمومی فاش نشده است.
فهرست مطالب
بردارهای حمله مورد استفاده برای آلوده کردن دستگاه ها با باج افزار Kasseika
توالیهای حمله Kasseika با یک ایمیل فیشینگ طراحی شده برای دسترسی اولیه آغاز میشوند و به دنبال آن ابزارهای دسترسی از راه دور (RAT) برای به دست آوردن ورودی ممتاز و جهتیابی جانبی در داخل شبکه هدف قرار میگیرند. قابل ذکر است، عوامل تهدید در این کمپین مشاهده شدهاند که از ابزار خط فرمان Sysinternals PsExec مایکروسافت برای اجرای اسکریپت دستهای ناامن استفاده میکنند. این اسکریپت وجود فرآیندی به نام «Martini.exe» را بررسی میکند و در صورت شناسایی، آن را خاتمه میدهد تا اطمینان حاصل شود که تنها یک نمونه از فرآیند روی دستگاه اجرا میشود.
نقش اصلی فایل اجرایی «Martini.exe» دانلود و اجرای درایور «Martini.sys» از یک سرور راه دور است. این درایور وظیفه غیرفعال کردن ابزارهای امنیتی 991 را بر عهده دارد. لازم به ذکر است که "Martini.sys" یک راننده امضا شده قانونی با نام "viragt64.sys" است، اما در لیست بلاک درایورهای آسیب پذیر مایکروسافت گنجانده شده است. اگر "Martini.sys" پیدا نشد، بدافزار خود به خود خاتمه می یابد و از اجرای بیشتر جلوگیری می کند.
پس از این مرحله، «Martini.exe» اجرای بار باجافزار، «smartscreen_protected.exe» را که مسئول فرآیند رمزگذاری با استفاده از الگوریتمهای ChaCha20 و RSA است، آغاز میکند. با این حال، قبل از شروع رمزگذاری، تمام فرآیندها و خدمات مرتبط با مدیر راه اندازی مجدد ویندوز را خاتمه می دهد.
باج افزار Kasseika از قربانیان باج گزافی می خواهد
پس از رمزگذاری، یک یادداشت باج در هر دایرکتوری تحت تأثیر قرار میگیرد، همراه با اصلاح تصویر زمینه رایانه که درخواست پرداخت 50 بیت کوین را به یک آدرس کیف پول مشخص نشان میدهد. شرط این است که پرداخت را ظرف 72 ساعت انجام دهید. در غیر این صورت، پس از پایان مهلت، هر 24 ساعت یک بار 500000 دلار هزینه اضافی دریافت خواهید کرد.
علاوه بر این، قربانیان باید برای دریافت ابزار رمزگشایی، اسکرین شات تایید پرداخت موفقیت آمیز را در یک گروه تلگرامی تحت کنترل بازیگران به اشتراک بگذارند.
باجافزار Kasseika به قابلیتهای تهدیدکننده گستردهای مجهز است
باج افزار Kasseika علاوه بر عملکردهای اصلی خود، از تاکتیک های اضافی برای پوشش مسیرهای خود استفاده می کند. یکی از این تکنیکها شامل پاک کردن آثار فعالیتهای آن با استفاده از باینری wevtutil.exe برای پاک کردن گزارشهای رویداد سیستم است. این دستور به طور موثر گزارش رویدادهای برنامه، امنیت و سیستم را در سیستم ویندوز پاک می کند. با به کارگیری این روش، باج افزار به طور محتاطانه عمل می کند و دشواری ابزارهای امنیتی برای شناسایی و پاسخ به فعالیت های مخرب را افزایش می دهد.
تقاضای باج ارائه شده توسط باج افزار Kasseika به قربانیان چنین است:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'