Kasseika Ransomware

Kasseika नामको ransomware समूहले हालसालै सम्झौता गरिएको विन्डोज प्रणालीहरूमा सुरक्षा प्रक्रियाहरूलाई बेअसर गर्न BYOVD (BYOVD) आक्रमण विधि अपनाएको छ। यो दृष्टिकोणले Kasseika लाई अकिरा , AvosLocker , BlackByte , र RobbinHood जस्ता अन्य समूहहरूसँग पङ्क्तिबद्ध गर्दछ, जसले BYOVD प्रविधिलाई एन्टि-मालवेयर प्रक्रियाहरू र सेवाहरू बन्द गर्न, ransomware को डिप्लोइमेन्टलाई सहज बनाउन प्रयोग गर्दछ।

मध्य डिसेम्बर 2023 मा साइबरसुरक्षा विशेषज्ञहरू द्वारा प्रारम्भिक रूपमा पहिचान गरिएको, Kasseika ले अहिले-भंग गरिएको ब्ल्याकमेटर समूहसँग समानताहरू साझा गर्दछ, जुन डार्कसाइड बन्द भएपछि देखा पर्‍यो। Kasseika सँग सम्बन्धित ransomware भेरियन्ट ब्ल्याकमेटरबाट सम्पत्तिमा पहुँच प्राप्त गर्ने वा खरिद गर्ने अनुभवी अभिनेताको परिणाम हुनसक्ने संकेतहरू छन्। यो अनुमान यस तथ्यबाट उत्पन्न हुन्छ कि ब्ल्याकमेटरको स्रोत कोड नोभेम्बर 2021 मा यसको मृत्यु पछि सार्वजनिक रूपमा खुलासा गरिएको छैन।

Kasseika Ransomware संग यन्त्रहरू संक्रमित गर्न प्रयोग गरिएको आक्रमण भेक्टरहरू

Kasseika को आक्रमण अनुक्रमहरू प्रारम्भिक पहुँचको लागि डिजाइन गरिएको फिसिङ इमेलको साथ सुरु हुन्छ, त्यसपछि रिमोट एक्सेस टूल्स (RATs) को प्रयोग गरी विशेषाधिकार प्राप्त प्रविष्टि प्राप्त गर्न र लक्षित नेटवर्क भित्र पार्श्व नेभिगेट गर्न। उल्लेखनीय रूपमा, यस अभियान भित्रका खतरा कर्ताहरूले असुरक्षित ब्याच स्क्रिप्ट कार्यान्वयन गर्न माइक्रोसफ्टको Sysinternals PsExec कमाण्ड-लाइन उपयोगिता प्रयोग गरेको देखियो। यो स्क्रिप्टले 'Martini.exe' नामक प्रक्रियाको उपस्थितिको लागि जाँच गर्दछ र, यदि पत्ता लाग्यो भने, मेसिनमा प्रक्रियाको एकल उदाहरण मात्र चलेको सुनिश्चित गर्न यसलाई समाप्त गर्दछ।

'Martini.exe' कार्यान्वयन योग्यको प्राथमिक भूमिका भनेको रिमोट सर्भरबाट 'Martini.sys' ड्राइभर डाउनलोड र कार्यान्वयन गर्नु हो। यो चालक 991 सुरक्षा उपकरण असक्षम गर्न जिम्मेवार छ। यो उल्लेख गर्न सान्दर्भिक छ कि 'Martini.sys' 'viragt64.sys' नामको वैध रूपमा हस्ताक्षर गरिएको ड्राइभर हो, यद्यपि यसलाई माइक्रोसफ्टको कमजोर ड्राइभर ब्लकलिस्टमा समावेश गरिएको छ। यदि 'Martini.sys' फेला परेन भने, मालवेयर आफैं समाप्त हुन्छ, थप कार्यान्वयनबाट बच्न।

यो चरण पछ्याउँदै, 'Martini.exe' ले ransomware पेलोड, 'smartscreen_protected.exe,' ChaCha20 र RSA एल्गोरिदमहरू प्रयोग गरेर इन्क्रिप्शन प्रक्रियाको लागि जिम्मेवारको कार्यान्वयन सुरु गर्छ। यद्यपि, एन्क्रिप्शन सुरु गर्नु अघि, यसले Windows पुन: सुरु प्रबन्धकसँग सम्बन्धित सबै प्रक्रियाहरू र सेवाहरूलाई समाप्त गर्छ।

Kasseika Ransomware ले पीडितहरूबाट अत्यधिक फिरौती भुक्तानीको माग गर्दछ

इन्क्रिप्शन पछि, फिरौती नोट प्रत्येक प्रभावित डाइरेक्टरीमा जम्मा गरिन्छ, कम्प्युटरको वालपेपरको परिमार्जनको साथमा निर्दिष्ट वालेट ठेगानामा 50-बिटकोइन भुक्तानीको लागि माग प्रदर्शन गर्दै। 72 घण्टा भित्र भुक्तानी गर्न शर्त छ; अन्यथा, म्याद समाप्त भएपछि प्रत्येक 24 घण्टामा थप $500,000 शुल्क लाग्ने खतरा छ।

यसबाहेक, पीडितहरूले डिक्रिप्शन उपकरण प्राप्त गर्न अभिनेता-नियन्त्रित टेलिग्राम समूहमा सफल भुक्तानी पुष्टि गर्ने स्क्रिनसट साझा गर्न आवश्यक छ।

Kasseika Ransomware व्यापक खतरा क्षमताहरु संग सुसज्जित छ

यसको प्राथमिक कार्यहरूको अतिरिक्त, Kasseika Ransomware ले यसको ट्र्याकहरू कभर गर्न थप रणनीतिहरू प्रयोग गर्दछ। एउटा यस्तो प्रविधिले प्रणालीको घटना लगहरू खाली गर्न wevtutil.exe बाइनरी प्रयोग गरेर यसको गतिविधिहरूको ट्रेसहरू मेटाउने समावेश गर्दछ। यो आदेशले विन्डोज प्रणालीमा अनुप्रयोग, सुरक्षा, र प्रणाली घटना लगहरू कुशलतापूर्वक मेटाउँछ। यो विधि प्रयोग गरेर, ransomware सावधानीपूर्वक सञ्चालन गर्दछ, सुरक्षा उपकरणहरूको लागि दुर्भावनापूर्ण गतिविधिहरू पत्ता लगाउन र प्रतिक्रिया दिन कठिनाई बढाउँदै।

कस्सिका र्यान्समवेयरले पीडितहरूलाई पेश गरेको फिरौतीको माग यस्तो छ:

  'Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'