Kasseika Ransomware
Izspiedējvīrusu grupa ar nosaukumu Kasseika nesen ir ieviesusi BYOVD (Bring Your Own Vulnerable Driver) uzbrukuma metodi, lai neitralizētu drošības procesus apdraudētās Windows sistēmās. Šī pieeja saskaņo Kasseika ar citām grupām, piemēram, Akira , AvosLocker, BlackByte un RobbinHood , kas arī izmanto BYOVD paņēmienu, lai izslēgtu ļaunprātīgas programmatūras apkarošanas procesus un pakalpojumus, atvieglojot izspiedējprogrammatūras izvietošanu.
Sākotnēji kiberdrošības eksperti to identificēja 2023. gada decembra vidū, un Kasseikai ir līdzības ar tagad izjukušo BlackMatter grupu, kas radās pēc DarkSide slēgšanas. Ir norādes, kas liecina, ka ar Kasseiku saistītais izpirkuma programmatūras variants varētu būt radījis pieredzējis apdraudējuma dalībnieks, kurš ieguvis piekļuvi BlackMatter aktīviem vai iegādājies tos. Šīs spekulācijas izriet no fakta, ka BlackMatter pirmkods nav publiski izpausts kopš tā nāves 2021. gada novembrī.
Satura rādītājs
Uzbrukuma vektori, kas tiek izmantoti ierīču inficēšanai ar Kasseika Ransomware
Kaseika uzbrukuma secības sākas ar pikšķerēšanas e-pasta ziņojumu, kas paredzēts sākotnējai piekļuvei, kam seko attālās piekļuves rīku (RAT) izvietošana, lai iegūtu priviliģētu piekļuvi un pārvietotos sāniski mērķa tīklā. Konkrēti, šajā kampaņā ir novēroti draudu dalībnieki, kuri izmanto Microsoft Sysinternals PsExec komandrindas utilītu, lai izpildītu nedrošu pakešskriptu. Šis skripts pārbauda, vai nav procesa ar nosaukumu “Martini.exe”, un, ja tiek konstatēts, to pārtrauc, lai nodrošinātu, ka iekārtā tiek palaists tikai viens procesa gadījums.
Izpildāmā faila "Martini.exe" galvenā loma ir lejupielādēt un izpildīt draiveri "Martini.sys" no attālā servera. Šis draiveris ir atbildīgs par 991 drošības rīku atspējošanu. Ir svarīgi pieminēt, ka "Martini.sys" ir likumīgi parakstīts draiveris ar nosaukumu "viragt64.sys", tomēr tas ir iekļauts Microsoft ievainojamo draiveru bloķēšanas sarakstā. Ja 'Martini.sys' netiek atrasts, ļaunprogrammatūra pati sevi pārtrauc, izvairoties no turpmākas izpildes.
Pēc šīs fāzes 'Martini.exe' uzsāk izspiedējprogrammatūras lietderīgās slodzes, 'smartscreen_protected.exe' izpildi, kas ir atbildīga par šifrēšanas procesu, izmantojot ChaCha20 un RSA algoritmus. Tomēr pirms šifrēšanas sākšanas tiek pārtraukti visi ar Windows restartēšanas pārvaldnieku saistītie procesi un pakalpojumi.
Kasseika Ransomware pieprasa no upuriem pārmērīgi lielu izpirkuma maksu
Pēc šifrēšanas katrā ietekmētajā direktorijā tiek deponēta izpirkuma piezīme, kā arī datora tapetes izmaiņas, kas parāda pieprasījumu pēc 50 bitcoin maksājuma uz noteiktu maka adresi. Nosacījums ir veikt maksājumu 72 stundu laikā; pretējā gadījumā pastāv draudi, ka pēc termiņa beigām ik pēc 24 stundām tiks iekasēta papildu maksa 500 000 USD apmērā.
Turklāt upuriem ir jākopīgo ekrānuzņēmums, kas apstiprina veiksmīgu maksājumu aktiera kontrolētā Telegram grupā, lai saņemtu atšifrēšanas rīku.
Kasseika Ransomware ir aprīkots ar plašām draudu iespējām
Papildus galvenajām funkcijām Kasseika Ransomware izmanto papildu taktiku, lai segtu tās pēdas. Viens no šādiem paņēmieniem ietver darbību pēdu dzēšanu, izmantojot bināro failu wevtutil.exe, lai notīrītu sistēmas notikumu žurnālus. Šī komanda efektīvi notīra lietojumprogrammu, drošības un sistēmas notikumu žurnālus Windows sistēmā. Izmantojot šo metodi, izspiedējprogrammatūra darbojas diskrēti, palielinot drošības rīku grūtības atklāt ļaunprātīgas darbības un reaģēt uz tām.
Izpirkuma pieprasījumā, ko Kasseika Ransomware upuriem iesniedza, teikts:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
