Kasseika Ransomware
Kumpulan perisian tebusan bernama Kasseika baru-baru ini telah menggunakan kaedah serangan Bring Your Own Vulnerable Driver (BYOVD) untuk meneutralkan proses keselamatan pada sistem Windows yang terjejas. Pendekatan ini menyelaraskan Kasseika dengan kumpulan lain seperti Akira , AvosLocker, BlackByte dan RobbinHood , yang turut menggunakan teknik BYOVD untuk mematikan proses dan perkhidmatan anti-malware, memudahkan penggunaan perisian tebusan.
Pada mulanya dikenal pasti oleh pakar keselamatan siber pada pertengahan Disember 2023, Kasseika berkongsi persamaan dengan kumpulan BlackMatter yang kini dibubarkan, yang muncul berikutan penutupan DarkSide . Terdapat tanda-tanda yang menunjukkan bahawa varian perisian tebusan yang dikaitkan dengan Kasseika mungkin hasil daripada pelakon ancaman berpengalaman yang memperoleh akses kepada atau membeli aset daripada BlackMatter. Spekulasi ini timbul daripada fakta bahawa kod sumber BlackMatter tidak didedahkan secara terbuka sejak ia mati pada November 2021.
Isi kandungan
Vektor Serangan Digunakan untuk Menjangkiti Peranti dengan Kasseika Ransomware
Urutan serangan Kasseika dimulakan dengan e-mel pancingan data yang direka untuk akses awal, diikuti dengan penggunaan Alat Akses Jauh (RAT) untuk memperoleh kemasukan istimewa dan menavigasi sisi dalam rangkaian yang disasarkan. Terutamanya, pelaku ancaman dalam kempen ini telah diperhatikan menggunakan utiliti baris perintah PsExec Sysinternals Microsoft untuk melaksanakan skrip kelompok yang tidak selamat. Skrip ini menyemak kehadiran proses yang dipanggil 'Martini.exe' dan, jika dikesan, menamatkannya untuk memastikan hanya satu contoh proses berjalan pada mesin.
Peranan utama 'Martini.exe' boleh laku ialah memuat turun dan melaksanakan pemacu 'Martini.sys' daripada pelayan jauh. Pemandu ini bertanggungjawab untuk melumpuhkan alat keselamatan 991. Adalah wajar untuk menyebut bahawa 'Martini.sys' ialah pemandu yang ditandatangani secara sah dengan nama 'viragt64.sys,' namun ia telah dimasukkan dalam senarai sekatan pemandu yang terdedah Microsoft. Jika 'Martini.sys' tidak ditemui, perisian hasad akan ditamatkan sendiri, mengelakkan pelaksanaan selanjutnya.
Berikutan fasa ini, 'Martini.exe' memulakan pelaksanaan muatan perisian tebusan, 'smartscreen_protected.exe,' yang bertanggungjawab untuk proses penyulitan menggunakan algoritma ChaCha20 dan RSA. Walau bagaimanapun, sebelum memulakan penyulitan, ia menamatkan semua proses dan perkhidmatan yang dikaitkan dengan Windows Restart Manager.
Kasseika Ransomware Meminta Bayaran Tebusan Terlalu Banyak daripada Mangsa
Berikutan penyulitan, nota tebusan didepositkan dalam setiap direktori yang terjejas, disertai dengan pengubahsuaian kertas dinding komputer yang memaparkan permintaan untuk pembayaran 50-bitcoin ke alamat dompet yang ditentukan. Ketetapannya adalah untuk membuat pembayaran dalam tempoh 72 jam; jika tidak, terdapat ancaman untuk dikenakan caj tambahan $500,000 setiap 24 jam sebaik sahaja tarikh akhir tamat.
Tambahan pula, mangsa dikehendaki berkongsi tangkapan skrin yang mengesahkan pembayaran berjaya dalam kumpulan Telegram yang dikawal pelakon untuk menerima alat penyahsulitan.
Ransomware Kasseika Dilengkapi dengan Keupayaan Mengancam Yang Luas
Sebagai tambahan kepada fungsi utamanya, Kasseika Ransomware menggunakan taktik tambahan untuk menutup jejaknya. Satu teknik sedemikian melibatkan pemadaman kesan aktivitinya dengan menggunakan binari wevtutil.exe untuk mengosongkan log peristiwa sistem. Perintah ini dengan cekap memadam log peristiwa Aplikasi, Keselamatan dan Sistem pada sistem Windows. Dengan menggunakan kaedah ini, perisian tebusan beroperasi secara berhati-hati, meningkatkan kesukaran alat keselamatan untuk mengesan dan bertindak balas terhadap aktiviti berniat jahat.
Permintaan tebusan yang dikemukakan oleh Kasseika Ransomware kepada mangsa berbunyi:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
