Kasseika Ransomware
Grupa ransomwarea pod imenom Kasseika nedavno je usvojila metodu napada Bring Your Own Vulnerable Driver (BYOVD) za neutralizaciju sigurnosnih procesa na ugroženim Windows sustavima. Ovaj pristup povezuje Kasseiku s drugim grupama kao što su Akira , AvosLocker, BlackByte i RobbinHood , koji također koriste tehniku BYOVD za isključivanje procesa i usluga protiv zlonamjernog softvera, olakšavajući implementaciju ransomwarea.
Prvobitno identificirani od strane stručnjaka za kibernetičku sigurnost sredinom prosinca 2023., Kasseika dijeli sličnosti sa sada raspuštenom grupom BlackMatter , koja se pojavila nakon gašenja DarkSidea . Postoje naznake koje sugeriraju da bi varijanta ransomwarea povezana s Kasseikom mogla biti rezultat iskusnog aktera prijetnje koji je dobio pristup ili kupio imovinu od BlackMattera. Ova nagađanja proizlaze iz činjenice da izvorni kod BlackMattera nije javno objavljen od njegove smrti u studenom 2021.
Sadržaj
Vektori napada koji se koriste za zarazu uređaja s Kasseika Ransomwareom
Kasseikine sekvence napada započinju s phishing e-poštom dizajniranom za početni pristup, nakon čega slijedi implementacija alata za daljinski pristup (RATs) za dobivanje privilegiranog ulaza i bočnu navigaciju unutar ciljane mreže. Naime, akteri prijetnji unutar ove kampanje primijećeni su kako koriste Microsoftov uslužni program naredbenog retka Sysinternals PsExec za izvršavanje nesigurne skupne skripte. Ova skripta provjerava prisutnost procesa pod nazivom 'Martini.exe' i, ako se otkrije, prekida ga kako bi se osiguralo da se na stroju izvodi samo jedna instanca procesa.
Primarna uloga izvršne datoteke 'Martini.exe' je preuzimanje i izvođenje upravljačkog programa 'Martini.sys' s udaljenog poslužitelja. Ovaj upravljački program je odgovoran za onemogućavanje 991 sigurnosnih alata. Prikladno je spomenuti da je 'Martini.sys' legitimno potpisan upravljački program s imenom 'viragt64.sys', ali je ipak uključen u Microsoftov popis blokiranih ranjivih upravljačkih programa. Ako 'Martini.sys' nije pronađen, zlonamjerni softver se sam prekida, izbjegavajući daljnje izvršavanje.
Nakon ove faze, 'Martini.exe' pokreće izvršavanje korisnih sadržaja ransomwarea, 'smartscreen_protected.exe', odgovornog za proces enkripcije pomoću algoritama ChaCha20 i RSA. Međutim, prije početka enkripcije prekida sve procese i usluge povezane s Windows Restart Managerom.
Kasseika Ransomware traži pretjerane otkupnine od žrtava
Nakon enkripcije, poruka o otkupnini pohranjuje se u svaki zahvaćeni direktorij, popraćena izmjenom pozadine računala koja prikazuje zahtjev za uplatu od 50 bitcoina na određenu adresu novčanika. Uvjet je izvršiti plaćanje unutar 72 sata; u suprotnom, postoji prijetnja od dodatnih 500.000 USD naplate svaka 24 sata nakon isteka roka.
Nadalje, žrtve moraju podijeliti snimku zaslona koja potvrđuje uspješno plaćanje u Telegram grupi koju kontroliraju glumci kako bi primile alat za dešifriranje.
Ransomware Kasseika opremljen je opsežnim mogućnostima prijetnje
Uz svoje primarne funkcije, Kasseika Ransomware koristi dodatne taktike za prikrivanje tragova. Jedna takva tehnika uključuje brisanje tragova njegovih aktivnosti korištenjem binarne datoteke wevtutil.exe za brisanje zapisnika događaja sustava. Ova naredba učinkovito briše zapise događaja aplikacije, sigurnosti i sustava u sustavu Windows. Koristeći ovu metodu, ransomware djeluje diskretno, povećavajući poteškoće sigurnosnim alatima da otkriju i odgovore na zlonamjerne aktivnosti.
Zahtjev za otkupninu koji Kasseika Ransomware predstavlja žrtvama glasi:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
