Kasseika Ransomware
A Kasseika nevű ransomware csoport a közelmúltban alkalmazta a Bring Your Own Vulnerable Driver (BYOVD) támadási módszert, hogy semlegesítse a biztonsági folyamatokat a feltört Windows rendszereken. Ez a megközelítés összehangolja Kasseikát más csoportokkal, mint például az Akira , az AvosLocker, a BlackByte és a RobbinHood , amelyek szintén a BYOVD technikát alkalmazzák a rosszindulatú szoftverek elleni folyamatok és szolgáltatások kikapcsolására, megkönnyítve ezzel a zsarolóvírusok telepítését.
A kiberbiztonsági szakértők által 2023. december közepén azonosított Kasseika hasonlóságot mutat a már feloszlott BlackMatter csoporttal, amely a DarkSide leállása után alakult ki. Vannak arra utaló jelek, hogy a Kasseikához társított zsarolóprogram-változat egy tapasztalt fenyegetettségi szereplő eredménye lehet, aki hozzáfért a BlackMatterhez vagy vásárolt eszközöket a BlackMattertől. Ez a spekuláció abból a tényből ered, hogy a BlackMatter forráskódját a 2021 novemberi megszűnése óta nem hozták nyilvánosságra.
Tartalomjegyzék
Az eszközök megfertőzésére használt támadási vektorok a Kasseika Ransomware-rel
Kasseika támadási szekvenciái egy kezdeti hozzáférésre tervezett adathalász e-maillel indulnak, amelyet a Remote Access Tools (RAT) telepítése követ, hogy kiváltságos belépést szerezzenek és oldalirányban navigálhassanak a megcélzott hálózaton belül. Figyelemre méltó, hogy a kampányon belül a fenyegetés szereplői a Microsoft Sysinternals PsExec parancssori segédprogramját használták nem biztonságos kötegelt szkriptek végrehajtására. Ez a parancsfájl ellenőrzi a „Martini.exe” nevű folyamat jelenlétét, és ha észleli, leállítja azt, hogy biztosítsa, hogy a folyamatnak csak egyetlen példánya fusson a gépen.
A „Martini.exe” végrehajtható fájl elsődleges szerepe a „Martini.sys” illesztőprogram letöltése és végrehajtása egy távoli szerverről. Ez az illesztőprogram felelős a 991 biztonsági eszközök letiltásáért. Érdemes megemlíteni, hogy a „Martini.sys” egy törvényesen aláírt „viragt64.sys” nevű illesztőprogram, mégis felkerült a Microsoft sebezhető illesztőprogramjainak tiltólistájára. Ha a 'Martini.sys' nem található, a kártevő leállítja magát, elkerülve a további végrehajtást.
Ezt a fázist követően a 'Martini.exe' elindítja a ransomware rakomány, a 'smartscreen_protected.exe' végrehajtását, amely a titkosítási folyamatért felelős ChaCha20 és RSA algoritmusok használatával. A titkosítás megkezdése előtt azonban leállítja a Windows Restart Managerhez kapcsolódó összes folyamatot és szolgáltatást.
A Kasseika Ransomware túlzott mértékű váltságdíjat követel az áldozatoktól
A titkosítást követően minden érintett címtárban váltságdíjat helyeznek el, a számítógép háttérképének módosításával együtt, amely 50 bitcoin fizetési igényt jelenít meg egy meghatározott pénztárcacímre. A kikötés az, hogy a fizetést 72 órán belül kell teljesíteni; ellenkező esetben a határidő lejártát követően 24 óránként további 500 000 USD díjat kell fizetni.
Ezenkívül az áldozatoknak meg kell osztaniuk a sikeres fizetést igazoló képernyőképet egy színész által irányított Telegram csoportban, hogy megkapják a visszafejtő eszközt.
A Kasseika Ransomware kiterjedt fenyegetési képességekkel van felszerelve
Elsődleges funkciói mellett a Kasseika Ransomware további taktikákat alkalmaz a nyomok fedezésére. Az egyik ilyen technika magában foglalja a tevékenység nyomainak törlését a wevtutil.exe bináris használatával a rendszer eseménynaplóinak törlésére. Ez a parancs hatékonyan törli az Alkalmazás-, Biztonság- és Rendszereseménynaplókat a Windows rendszeren. Ezzel a módszerrel a zsarolóprogram diszkréten működik, megnehezítve a biztonsági eszközök számára a rosszindulatú tevékenységek észlelését és reagálását.
A Kasseika Ransomware által az áldozatoknak benyújtott váltságdíj követelése a következő:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
