Kasseika Ransomware

कैसिका नाम के रैंसमवेयर समूह ने हाल ही में समझौता किए गए विंडोज सिस्टम पर सुरक्षा प्रक्रियाओं को बेअसर करने के लिए ब्रिंग योर ओन वल्नरेबल ड्राइवर (BYOVD) हमले की विधि को अपनाया है। यह दृष्टिकोण कासिका को Akira , AvosLocker, BlackByte और RobinHood जैसे अन्य समूहों के साथ संरेखित करता है, जो रैंसमवेयर की तैनाती की सुविधा के लिए एंटी-मैलवेयर प्रक्रियाओं और सेवाओं को बंद करने के लिए BYOVD तकनीक का भी उपयोग करते हैं।

शुरुआत में दिसंबर 2023 के मध्य में साइबर सुरक्षा विशेषज्ञों द्वारा पहचानी गई, कास्सिका अब विघटित BlackMatter समूह के साथ समानताएं साझा करती है, जो DarkSide के बंद होने के बाद उभरी। ऐसे संकेत हैं जो बताते हैं कि कासेइका से जुड़ा रैंसमवेयर संस्करण एक अनुभवी खतरा अभिनेता द्वारा ब्लैकमैटर से संपत्ति तक पहुंच प्राप्त करने या खरीदने का परिणाम हो सकता है। यह अटकलें इस तथ्य से उत्पन्न होती हैं कि ब्लैकमैटर के स्रोत कोड का नवंबर 2021 में निधन के बाद से सार्वजनिक रूप से खुलासा नहीं किया गया है।

Kasseika Ransomware से उपकरणों को संक्रमित करने के लिए आक्रमण वैक्टर का उपयोग किया जाता है

कैसिका के हमले का क्रम प्रारंभिक पहुंच के लिए डिज़ाइन किए गए फ़िशिंग ईमेल से शुरू होता है, इसके बाद विशेषाधिकार प्राप्त प्रविष्टि प्राप्त करने और लक्षित नेटवर्क के भीतर नेविगेट करने के लिए रिमोट एक्सेस टूल्स (आरएटी) की तैनाती होती है। विशेष रूप से, इस अभियान के भीतर ख़तरनाक अभिनेताओं को असुरक्षित बैच स्क्रिप्ट को निष्पादित करने के लिए Microsoft की Sysinternals PsExec कमांड-लाइन उपयोगिता का उपयोग करते हुए देखा गया है। यह स्क्रिप्ट 'Martini.exe' नामक एक प्रक्रिया की उपस्थिति की जाँच करती है और, यदि इसका पता चलता है, तो यह सुनिश्चित करने के लिए इसे समाप्त कर देती है कि मशीन पर प्रक्रिया का केवल एक ही उदाहरण चलता है।

'Martini.exe' निष्पादन योग्य की प्राथमिक भूमिका दूरस्थ सर्वर से 'Martini.sys' ड्राइवर को डाउनलोड और निष्पादित करना है। यह ड्राइवर 991 सुरक्षा उपकरणों को अक्षम करने के लिए जिम्मेदार है। यह उल्लेख करना उचित है कि 'Martini.sys' एक वैध रूप से हस्ताक्षरित ड्राइवर है जिसका नाम 'viragt64.sys' है, फिर भी इसे Microsoft की असुरक्षित ड्राइवर ब्लॉकलिस्ट में शामिल किया गया है। यदि 'Martini.sys' नहीं मिलता है, तो मैलवेयर आगे के निष्पादन से बचते हुए, स्वयं समाप्त हो जाता है।

इस चरण के बाद, 'Martini.exe' रैनसमवेयर पेलोड, 'smartscreen_protected.exe' के निष्पादन की शुरुआत करता है, जो चाचा20 और आरएसए एल्गोरिदम का उपयोग करके एन्क्रिप्शन प्रक्रिया के लिए जिम्मेदार है। हालाँकि, एन्क्रिप्शन शुरू करने से पहले, यह विंडोज रीस्टार्ट मैनेजर से जुड़ी सभी प्रक्रियाओं और सेवाओं को समाप्त कर देता है।

कासिका रैनसमवेयर पीड़ितों से अत्यधिक फिरौती भुगतान की मांग करता है

एन्क्रिप्शन के बाद, प्रभावित प्रत्येक निर्देशिका में एक फिरौती नोट जमा किया जाता है, साथ ही कंप्यूटर के वॉलपेपर में एक संशोधन किया जाता है जो एक निर्दिष्ट वॉलेट पते पर 50-बिटकॉइन भुगतान की मांग प्रदर्शित करता है। शर्त यह है कि भुगतान 72 घंटों के भीतर करना होगा; अन्यथा, समय सीमा समाप्त होने के बाद हर 24 घंटे में अतिरिक्त $500,000 का शुल्क लगने का खतरा है।

इसके अलावा, पीड़ितों को डिक्रिप्शन टूल प्राप्त करने के लिए अभिनेता-नियंत्रित टेलीग्राम समूह में सफल भुगतान की पुष्टि करने वाला एक स्क्रीनशॉट साझा करना आवश्यक है।

कासिका रैनसमवेयर व्यापक धमकी देने की क्षमताओं से लैस है

अपने प्राथमिक कार्यों के अलावा, कासिका रैनसमवेयर अपने ट्रैक को कवर करने के लिए अतिरिक्त रणनीति अपनाता है। ऐसी ही एक तकनीक में सिस्टम के इवेंट लॉग को साफ़ करने के लिए wevtutil.exe बाइनरी का उपयोग करके अपनी गतिविधियों के निशान मिटाना शामिल है। यह कमांड विंडोज़ सिस्टम पर एप्लिकेशन, सुरक्षा और सिस्टम इवेंट लॉग को कुशलतापूर्वक मिटा देता है। इस पद्धति को नियोजित करने से, रैंसमवेयर विवेकपूर्वक संचालित होता है, जिससे सुरक्षा उपकरणों के लिए दुर्भावनापूर्ण गतिविधियों का पता लगाने और प्रतिक्रिया देने में कठिनाई बढ़ जाती है।

कासिका रैनसमवेयर द्वारा पीड़ितों को दी गई फिरौती की मांग में लिखा है:

  'Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'