Kasseika Ransomware
ក្រុម ransomware ដែលមានឈ្មោះថា Kasseika ថ្មីៗនេះបានអនុម័តវិធីសាស្ត្រវាយប្រហារ Bring Your Own Vulnerable Driver (BYOVD) ដើម្បីបន្សាបដំណើរការសុវត្ថិភាពនៅលើប្រព័ន្ធ Windows ដែលត្រូវបានសម្របសម្រួល។ វិធីសាស្រ្តនេះតម្រឹម Kasseika ជាមួយក្រុមផ្សេងទៀតដូចជា Akira , AvosLocker , BlackByte , និង RobbinHood ដែលប្រើបច្ចេកទេស BYOVD ដើម្បីបិទដំណើរការ និងសេវាកម្មប្រឆាំងមេរោគ ដែលជួយសម្រួលដល់ការដាក់ពង្រាយ ransomware ។
ត្រូវបានកំណត់អត្តសញ្ញាណដំបូងដោយអ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតនៅពាក់កណ្តាលខែធ្នូ ឆ្នាំ 2023 Kasseika ចែករំលែកភាពស្រដៀងគ្នាជាមួយក្រុម BlackMatter ដែលឥឡូវត្រូវបានរំសាយ ដែលបានកើតឡើងបន្ទាប់ពីការបិទ DarkSide ។ មានការចង្អុលបង្ហាញថា វ៉ារ្យ៉ង់ ransomware ដែលជាប់ពាក់ព័ន្ធនឹង Kasseika អាចជាលទ្ធផលនៃការគំរាមកំហែងដែលមានបទពិសោធន៍ទទួលបាន ឬទិញទ្រព្យសកម្មពី BlackMatter។ ការរំពឹងទុកនេះកើតឡើងពីការពិតដែលថាកូដប្រភពរបស់ BlackMatter មិនត្រូវបានបង្ហាញជាសាធារណៈចាប់តាំងពីការស្លាប់របស់វានៅក្នុងខែវិច្ឆិកា 2021 ។
តារាងមាតិកា
វ៉ិចទ័រវាយប្រហារប្រើដើម្បីឆ្លងឧបករណ៍ជាមួយ Kasseika Ransomware
លំដាប់នៃការវាយប្រហាររបស់ Kasseika ចាប់ផ្តើមជាមួយនឹងអ៊ីមែលបន្លំដែលត្រូវបានរចនាឡើងសម្រាប់ការចូលប្រើដំបូង បន្ទាប់មកការដាក់ពង្រាយឧបករណ៍ចូលប្រើពីចម្ងាយ (RATs) ដើម្បីទទួលបានការចូលដែលមានសិទ្ធិ និងរុករកនៅពេលក្រោយក្នុងបណ្តាញគោលដៅ។ គួរកត់សម្គាល់ថាតួអង្គគំរាមកំហែងនៅក្នុងយុទ្ធនាការនេះត្រូវបានគេសង្កេតឃើញប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់បន្ទាត់ពាក្យបញ្ជា Sysinternals PsExec របស់ Microsoft ដើម្បីដំណើរការស្គ្រីបបាច់ដែលមិនមានសុវត្ថិភាព។ ស្គ្រីបនេះពិនិត្យរកមើលវត្តមាននៃដំណើរការដែលហៅថា 'Martini.exe' ហើយប្រសិនបើរកឃើញ វានឹងបិទវាដើម្បីធានាថាដំណើរការតែមួយដំណើរការនៅលើម៉ាស៊ីន។
តួនាទីចម្បងរបស់ 'Martini.exe' អាចប្រតិបត្តិបានគឺទាញយក និងប្រតិបត្តិកម្មវិធីបញ្ជា 'Martini.sys' ពីម៉ាស៊ីនមេពីចម្ងាយ។ អ្នកបើកបរនេះទទួលខុសត្រូវចំពោះការបិទឧបករណ៍សុវត្ថិភាព 991 ។ វាជាការពាក់ព័ន្ធក្នុងការនិយាយថា 'Martini.sys' គឺជាកម្មវិធីបញ្ជាដែលមានការចុះហត្ថលេខាស្របច្បាប់ជាមួយនឹងឈ្មោះ 'viragt64.sys' ប៉ុន្តែវាត្រូវបានបញ្ចូលក្នុងបញ្ជីបិទកម្មវិធីបញ្ជាដែលងាយរងគ្រោះរបស់ Microsoft ។ ប្រសិនបើ 'Martini.sys' រកមិនឃើញ មេរោគនឹងបញ្ចប់ដោយខ្លួនវា ដោយជៀសវាងការប្រតិបត្តិបន្ថែមទៀត។
បន្ទាប់ពីដំណាក់កាលនេះ 'Martini.exe' ចាប់ផ្តើមការប្រតិបត្តិនៃ ransomware payload 'smartscreen_protected.exe' ដែលទទួលខុសត្រូវចំពោះដំណើរការអ៊ិនគ្រីបដោយប្រើ ChaCha20 និង RSA algorithms ។ ទោះយ៉ាងណាក៏ដោយ មុនពេលចាប់ផ្តើមការអ៊ិនគ្រីប វាបញ្ចប់ដំណើរការ និងសេវាកម្មទាំងអស់ដែលភ្ជាប់ជាមួយកម្មវិធីគ្រប់គ្រងការចាប់ផ្តើមវីនដូឡើងវិញ។
Kasseika Ransomware ទាមទារការទូទាត់ថ្លៃលោះហួសហេតុពីជនរងគ្រោះ
បន្ទាប់ពីការអ៊ិនគ្រីប កំណត់ចំណាំតម្លៃលោះត្រូវបានដាក់ក្នុងថតនីមួយៗដែលរងផលប៉ះពាល់ អមដោយការកែប្រែផ្ទាំងរូបភាពរបស់កុំព្យូទ័រដែលបង្ហាញពីតម្រូវការសម្រាប់ការទូទាត់ 50-bitcoin ទៅកាន់អាសយដ្ឋានកាបូបដែលបានបញ្ជាក់។ លក្ខខណ្ឌគឺត្រូវទូទាត់ក្នុងរយៈពេល 72 ម៉ោង; បើមិនដូច្នេះទេ មានការគំរាមទារប្រាក់បន្ថែមចំនួន 500,000 ដុល្លាររៀងរាល់ 24 ម៉ោងម្តង នៅពេលផុតកំណត់ផុតកំណត់។
លើសពីនេះ ជនរងគ្រោះត្រូវបានតម្រូវឱ្យចែករំលែករូបថតអេក្រង់ដែលបញ្ជាក់ពីការទូទាត់ជោគជ័យនៅក្នុងក្រុម Telegram ដែលគ្រប់គ្រងដោយតារាសម្តែង ដើម្បីទទួលបានឧបករណ៍ឌិគ្រីប។
Kasseika Ransomware ត្រូវបានបំពាក់ដោយសមត្ថភាពគំរាមកំហែងយ៉ាងទូលំទូលាយ
បន្ថែមពីលើមុខងារចម្បងរបស់វា Kasseika Ransomware ប្រើយុទ្ធសាស្ត្របន្ថែមដើម្បីគ្របដណ្តប់បទរបស់វា។ បច្ចេកទេសមួយបែបនេះពាក់ព័ន្ធនឹងការលុបដាននៃសកម្មភាពរបស់វាដោយប្រើប្រាស់ប្រព័ន្ធគោលពីរ wevtutil.exe ដើម្បីសម្អាតកំណត់ហេតុព្រឹត្តិការណ៍របស់ប្រព័ន្ធ។ ពាក្យបញ្ជានេះលុបកំណត់ហេតុព្រឹត្តិការណ៍កម្មវិធី សុវត្ថិភាព និងប្រព័ន្ធយ៉ាងមានប្រសិទ្ធភាពនៅលើប្រព័ន្ធ Windows។ តាមរយៈការប្រើប្រាស់វិធីសាស្រ្តនេះ ransomware ដំណើរការដោយមិនដឹងខ្លួន ដែលបង្កើនការលំបាកសម្រាប់ឧបករណ៍សុវត្ថិភាពក្នុងការស្វែងរក និងឆ្លើយតបចំពោះសកម្មភាពព្យាបាទ។
តម្រូវការលោះដែលបង្ហាញដោយ Kasseika Ransomware ដល់ជនរងគ្រោះអាន៖
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
