Kasseika Ransomware

Kasseika라는 랜섬웨어 그룹은 최근 손상된 Windows 시스템의 보안 프로세스를 무력화하기 위해 BYOVD(Bring Your Own Vulnerable Driver) 공격 방법을 채택했습니다. 이 접근 방식은 Kasseika를 Akira , AvosLocker, BlackByte 및 RobbinHood 와 같은 다른 그룹과 연계합니다. 이들은 BYOVD 기술을 사용하여 맬웨어 방지 프로세스 및 서비스를 끄고 랜섬웨어 배포를 촉진합니다.

2023년 12월 중순 사이버 보안 전문가에 의해 처음 식별된 Kasseika는 DarkSide 폐쇄 이후 등장한 현재 해체된 BlackMatter 그룹과 유사점을 공유합니다. Kasseika와 관련된 랜섬웨어 변종은 숙련된 위협 행위자가 BlackMatter에 액세스하거나 BlackMatter에서 자산을 구매한 결과일 수 있음을 암시하는 징후가 있습니다. 이러한 추측은 BlackMatter의 소스 코드가 2021년 11월 종료된 이후 공개되지 않았다는 사실에서 비롯되었습니다.

Kasseika 랜섬웨어로 장치를 감염시키는 데 활용되는 공격 벡터

Kasseika의 공격 시퀀스는 초기 액세스용으로 설계된 피싱 이메일로 시작된 후, 권한 있는 항목을 획득하고 대상 네트워크 내에서 측면 탐색을 위해 RAT(원격 액세스 도구)를 배포합니다. 특히, 이 캠페인의 위협 행위자는 Microsoft의 Sysinternals PsExec 명령줄 유틸리티를 사용하여 안전하지 않은 배치 스크립트를 실행하는 것으로 관찰되었습니다. 이 스크립트는 'Martini.exe'라는 프로세스가 있는지 확인하고, 발견되면 프로세스를 종료하여 해당 프로세스의 단일 인스턴스만 시스템에서 실행되도록 합니다.

'Martini.exe' 실행 파일의 주요 역할은 원격 서버에서 'Martini.sys' 드라이버를 다운로드하고 실행하는 것입니다. 이 드라이버는 991 보안 도구를 비활성화하는 역할을 합니다. 'Martini.sys'는 'viragt64.sys'라는 이름으로 합법적으로 서명된 드라이버이지만 Microsoft의 취약한 드라이버 차단 목록에 포함되어 있다는 점을 언급하는 것이 적절합니다. 'Martini.sys'가 발견되지 않으면 악성코드는 스스로 종료되어 추가 실행을 방지합니다.

이 단계에 이어 'Martini.exe'는 ChaCha20 및 RSA 알고리즘을 사용하여 암호화 프로세스를 담당하는 랜섬웨어 페이로드 'smartscreen_protected.exe'의 실행을 시작합니다. 그러나 암호화를 시작하기 전에 Windows 다시 시작 관리자와 관련된 모든 프로세스 및 서비스가 종료됩니다.

Kasseika 랜섬웨어는 피해자에게 엄청난 몸값을 요구합니다.

암호화 후에는 영향을 받은 각 디렉터리에 몸값 메모가 저장되며, 지정된 지갑 주소로 50비트코인을 지불하라는 요구를 표시하는 컴퓨터 배경 화면이 수정됩니다. 72시간 이내에 결제를 완료하는 것이 조건입니다. 그렇지 않으면 기한이 만료되면 24시간마다 추가로 $500,000의 요금이 부과될 위험이 있습니다.

또한, 피해자는 암호 해독 도구를 받기 위해 행위자가 통제하는 텔레그램 그룹에서 성공적인 결제를 확인하는 스크린샷을 공유해야 합니다.

Kasseika 랜섬웨어는 광범위한 위협 기능을 갖추고 있습니다.

Kasseika 랜섬웨어는 주요 기능 외에도 자신의 흔적을 감추기 위해 추가 전술을 사용합니다. 그러한 기술 중 하나는 wevtutil.exe 바이너리를 활용하여 시스템의 이벤트 로그를 지워 해당 활동의 흔적을 지우는 것입니다. 이 명령은 Windows 시스템의 응용 프로그램, 보안 및 시스템 이벤트 로그를 효율적으로 지웁니다. 이 방법을 사용하면 랜섬웨어가 은밀하게 작동하여 보안 도구가 악의적인 활동을 탐지하고 대응하기가 더 어려워집니다.

Kasseika 랜섬웨어가 피해자에게 제시한 몸값 요구 사항은 다음과 같습니다.

  'Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'