Kasseika Ransomware
Išpirkos reikalaujančių programų grupė, pavadinta „Kasseika“, neseniai panaudojo „Bring Your Own Vulnerable Driver“ (BYOVD) atakos metodą, siekdama neutralizuoti saugos procesus pažeistose „Windows“ sistemose. Šis metodas suderina Kasseika su kitomis grupėmis, tokiomis kaip Akira , AvosLocker, BlackByte ir RobbinHood , kurios taip pat naudoja BYOVD techniką, kad išjungtų kovos su kenkėjiškomis programomis procesus ir paslaugas, palengvinant išpirkos reikalaujančių programų diegimą.
2023 m. gruodžio viduryje kibernetinio saugumo ekspertai iš pradžių nustatė, kad Kasseika panašus į dabar iširusią „BlackMatter“ grupę, kuri atsirado po „DarkSide“ uždarymo. Yra požymių, leidžiančių manyti, kad išpirkos reikalaujančios programos variantas, susijęs su Kasseika, gali būti patyrusio grėsmės veikėjo, gavusio prieigą prie BlackMatter arba įsigijus turtą, rezultatas. Šios spėlionės kyla dėl to, kad „BlackMatter“ šaltinio kodas nebuvo viešai atskleistas nuo jo žlugimo 2021 m. lapkritį.
Turinys
Atakos vektoriai, naudojami įrenginiams užkrėsti „Kasseika Ransomware“.
Kasseikos atakų sekos pradedamos naudojant sukčiavimo el. laišką, skirtą pradinei prieigai, o po to diegiami nuotolinės prieigos įrankiai (RAT), siekiant įgyti privilegijuotą įėjimą ir naršyti į šoną tiksliniame tinkle. Pažymėtina, kad šioje kampanijoje grėsmės veikėjai naudoja „Microsoft Sysinternals PsExec“ komandų eilutės įrankį, kad vykdytų nesaugų paketinį scenarijų. Šis scenarijus patikrina, ar nėra proceso, vadinamo „Martini.exe“, ir, jei aptinkamas, jį nutraukia, kad įsitikintų, jog įrenginyje veikia tik vienas proceso egzempliorius.
Pagrindinis vykdomojo failo „Martini.exe“ vaidmuo yra atsisiųsti ir vykdyti „Martini.sys“ tvarkyklę iš nuotolinio serverio. Ši tvarkyklė yra atsakinga už 991 saugos įrankių išjungimą. Tikslinga paminėti, kad „Martini.sys“ yra teisėtai pasirašyta tvarkyklė pavadinimu „viragt64.sys“, tačiau ji buvo įtraukta į „Microsoft“ pažeidžiamų tvarkyklių blokavimo sąrašą. Jei „Martini.sys“ nerandama, kenkėjiška programa pati baigiasi ir išvengiama tolesnio vykdymo.
Po šio etapo „Martini.exe“ inicijuoja išpirkos reikalaujančios programinės įrangos naudingosios apkrovos „smartscreen_protected.exe“, atsakingos už šifravimo procesą, vykdymą naudojant ChaCha20 ir RSA algoritmus. Tačiau prieš pradėdamas šifravimą jis nutraukia visus procesus ir paslaugas, susijusias su „Windows Restart Manager“.
„Kasseika Ransomware“ reikalauja didelių išpirkų iš aukų
Po šifravimo kiekviename paveiktame kataloge yra deponuojamas išpirkos lakštas, kartu pakeičiamas kompiuterio ekrano užsklanda, kuriame rodomas reikalavimas sumokėti 50 bitkoinų nurodytu piniginės adresu. Sąlyga yra atlikti mokėjimą per 72 valandas; kitu atveju, pasibaigus terminui, kas 24 valandas gresia papildomas 500 000 USD mokestis.
Be to, aukos turi pasidalyti ekrano kopija, patvirtinančia sėkmingą mokėjimą aktoriaus valdomoje „Telegram“ grupėje, kad gautų iššifravimo įrankį.
„Kasseika Ransomware“ yra aprūpintas daugybe grasinimo galimybių
Be savo pagrindinių funkcijų, „Kasseika Ransomware“ taiko papildomą taktiką, kad padengtų savo pėdsakus. Vienas iš tokių metodų apima veiklos pėdsakų ištrynimą naudojant dvejetainį failą wevtutil.exe sistemos įvykių žurnalams išvalyti. Ši komanda efektyviai išvalo programų, saugos ir sistemos įvykių žurnalus „Windows“ sistemoje. Taikant šį metodą, išpirkos reikalaujanti programinė įranga veikia diskretiškai, todėl saugos įrankiams sunkiau aptikti ir reaguoti į kenkėjišką veiklą.
„Kasseika Ransomware“ aukoms pateiktas išpirkos reikalavimas:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
