Kasseika Ransomware
Ransomware-gruppen ved navn Kasseika har nylig tatt i bruk angrepsmetoden Bring Your Own Vulnerable Driver (BYOVD) for å nøytralisere sikkerhetsprosesser på kompromitterte Windows-systemer. Denne tilnærmingen samkjører Kasseika med andre grupper som Akira , AvosLocker, BlackByte og RobbinHood , som også bruker BYOVD-teknikken for å slå av anti-malware-prosesser og -tjenester, noe som letter distribusjonen av løsepengeprogramvare.
Opprinnelig identifisert av cybersikkerhetseksperter i midten av desember 2023, deler Kasseika likheter med den nå oppløste BlackMatter- gruppen, som dukket opp etter nedleggelsen av DarkSide . Det er indikasjoner som tyder på at løsepengevarevarianten knyttet til Kasseika kan være et resultat av at en erfaren trusselaktør har fått tilgang til eller kjøpt eiendeler fra BlackMatter. Denne spekulasjonen kommer fra det faktum at BlackMatters kildekode ikke har blitt offentliggjort siden dens bortgang i november 2021.
Innholdsfortegnelse
Angrepsvektorer som brukes til å infisere enheter med Kasseika Ransomware
Kasseikas angrepssekvenser starter med en phishing-e-post designet for førstegangstilgang, etterfulgt av distribusjon av Remote Access Tools (RATs) for å få privilegert tilgang og navigere sideveis innenfor det målrettede nettverket. Spesielt har trusselaktører i denne kampanjen blitt observert som bruker Microsofts Sysinternals PsExec-kommandolinjeverktøy for å kjøre utrygge batch-skript. Dette skriptet sjekker for tilstedeværelsen av en prosess kalt 'Martini.exe' og, hvis det oppdages, avslutter den for å sikre at bare en enkelt forekomst av prosessen kjører på maskinen.
Den primære rollen til den kjørbare "Martini.exe" er å laste ned og kjøre "Martini.sys"-driveren fra en ekstern server. Denne driveren er ansvarlig for å deaktivere 991 sikkerhetsverktøy. Det er relevant å nevne at 'Martini.sys' er en legitimt signert driver med navnet 'viragt64.sys', men den har blitt inkludert i Microsofts sårbare driverblokkeringsliste. Hvis 'Martini.sys' ikke blir funnet, avsluttes skadelig programvare av seg selv, og unngår videre kjøring.
Etter denne fasen starter 'Martini.exe' kjøringen av løsepengelasten, 'smartscreen_protected.exe', som er ansvarlig for krypteringsprosessen ved hjelp av ChaCha20 og RSA-algoritmer. Før du starter kryptering, avslutter den imidlertid alle prosesser og tjenester knyttet til Windows Restart Manager.
Kasseika-ransomware krever ublu løsepenger fra ofre
Etter kryptering settes en løsepengenota i hver berørte katalog, ledsaget av en modifikasjon av datamaskinens bakgrunn som viser et krav om en 50-bitcoin-betaling til en spesifisert lommebokadresse. Bestemmelsen er å foreta betalingen innen 72 timer; ellers er det en trussel om å pådra seg en ekstra kostnad på $500 000 hver 24. time når fristen utløper.
Videre er ofre pålagt å dele et skjermbilde som bekrefter den vellykkede betalingen i en skuespillerkontrollert Telegram-gruppe for å motta dekrypteringsverktøyet.
Kasseika Ransomware er utstyrt med omfattende trusselegenskaper
I tillegg til hovedfunksjonene, bruker Kasseika Ransomware ytterligere taktikker for å dekke sporene sine. En slik teknikk innebærer å slette spor etter aktivitetene ved å bruke binærfilen wevtutil.exe for å slette systemets hendelseslogger. Denne kommandoen sletter effektivt program-, sikkerhets- og systemhendelsesloggene på Windows-systemet. Ved å bruke denne metoden fungerer løsepengevaren diskret, noe som øker vanskeligheten for sikkerhetsverktøy å oppdage og reagere på ondsinnede aktiviteter.
Løsepengekravet presentert av Kasseika Ransomware til ofrene lyder:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
