Kasseika Ransomware
Kasseika-niminen kiristysohjelmaryhmä on äskettäin ottanut käyttöön BYOVD (Bring Your Own Vulnerable Driver) -hyökkäysmenetelmän suojatakseen tietoturvaprosesseja vaarantuneissa Windows-järjestelmissä. Tämä lähestymistapa yhdistää Kasseikan muihin ryhmiin, kuten Akira , AvosLocker, BlackByte ja RobbinHood , jotka myös käyttävät BYOVD-tekniikkaa haittaohjelmien torjuntaprosessien ja -palvelujen poistamiseen käytöstä, mikä helpottaa kiristysohjelmien käyttöönottoa.
Kyberturvallisuusasiantuntijat tunnistivat alun perin joulukuun puolivälissä 2023, että Kasseikalla on yhtäläisyyksiä nyt hajotetun BlackMatter -ryhmän kanssa, joka syntyi DarkSiden sulkemisen jälkeen. On viitteitä siitä, että Kasseikaan liittyvä kiristysohjelmavariantti voi olla seurausta kokeneesta uhkatekijästä, joka on hankkinut BlackMatterilta pääsyn tai ostanut omaisuutta. Tämä spekulaatio johtuu siitä, että BlackMatterin lähdekoodia ei ole julkistettu sen jälkeen, kun se kuoli marraskuussa 2021.
Sisällysluettelo
Hyökkäysvektorit, joita käytetään laitteiden tartuttamiseen Kasseika Ransomwarella
Kasseikan hyökkäysjaksot alkavat tietojenkalasteluviestillä, joka on suunniteltu ensimmäistä käyttöä varten, minkä jälkeen otetaan käyttöön Remote Access Tools (RAT) -työkalut, joilla saadaan etuoikeutettu pääsy ja navigoi sivusuunnassa kohdeverkon sisällä. Erityisesti tämän kampanjan uhkien on havaittu käyttävän Microsoftin Sysinternals PsExec -komentoriviohjelmaa vaarallisen eräkomentosarjan suorittamiseen. Tämä komentosarja tarkistaa, onko prosessi nimeltä "Martini.exe", ja jos se havaitaan, lopettaa sen varmistaakseen, että vain yksi prosessin esiintymä suoritetaan koneessa.
"Martini.exe"-suoritettavan tiedoston ensisijainen tehtävä on ladata ja suorittaa "Martini.sys"-ohjain etäpalvelimelta. Tämä ohjain on vastuussa 991-suojaustyökalujen käytöstä poistamisesta. On aiheellista mainita, että "Martini.sys" on laillisesti allekirjoitettu ohjain nimellä "viragt64.sys", mutta se on kuitenkin sisällytetty Microsoftin haavoittuvien ohjainten estoluetteloon. Jos 'Martini.sys' ei löydy, haittaohjelma lopettaa itsensä ja välttää sen suorittamisen.
Tämän vaiheen jälkeen "Martini.exe" käynnistää ransomware-hyötykuorman "smartscreen_protected.exe" suorittamisen, joka vastaa salausprosessista ChaCha20- ja RSA-algoritmeilla. Ennen salauksen aloittamista se kuitenkin lopettaa kaikki Windowsin Restart Manageriin liittyvät prosessit ja palvelut.
Kasseika Ransomware vaatii uhreilta kohtuuttomia lunnaita
Salauksen jälkeen jokaiseen hakemistoon talletetaan lunnaita, joihin liittyy tietokoneen taustakuvan muutos, joka näyttää vaatimuksen 50 bitcoinin maksusta tiettyyn lompakkoosoitteeseen. Edellytyksenä on, että maksu suoritetaan 72 tunnin kuluessa; Muussa tapauksessa on olemassa 500 000 dollarin lisäveloitus 24 tunnin välein määräajan umpeuduttua.
Lisäksi uhrien on jaettava kuvakaappaus, joka vahvistaa onnistuneen maksun näyttelijän hallitsemassa Telegram-ryhmässä saadakseen salauksenpurkutyökalun.
Kasseika Ransomware on varustettu laajoilla uhkausominaisuuksilla
Ensisijaisten toimintojensa lisäksi Kasseika Ransomware käyttää lisätaktiikoita peittääkseen jälkensä. Yksi tällainen tekniikka sisältää sen toimintojen jälkien poistamisen käyttämällä wevtutil.exe-binaaria järjestelmän tapahtumalokien tyhjentämiseen. Tämä komento pyyhkii tehokkaasti sovellus-, suojaus- ja järjestelmätapahtumalokit Windows-järjestelmästä. Tätä menetelmää käyttämällä lunnasohjelma toimii huomaamattomasti, mikä lisää tietoturvatyökalujen vaikeuksia havaita haitallisia toimia ja vastata niihin.
Kasseika Ransomwaren uhreille esittämä lunnaita koskeva vaatimus kuuluu:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
