Kasseika-ransomware
De ransomwaregroep genaamd Kasseika heeft onlangs de aanvalsmethode Bring Your Own Vulnerable Driver (BYOVD) ingevoerd om beveiligingsprocessen op aangetaste Windows-systemen te neutraliseren. Deze aanpak brengt Kasseika op één lijn met andere groepen zoals Akira , AvosLocker, BlackByte en RobbinHood , die ook de BYOVD-techniek gebruiken om antimalwareprocessen en -diensten uit te schakelen, waardoor de inzet van ransomware wordt vergemakkelijkt.
Kasseika werd voor het eerst geïdentificeerd door cyberbeveiligingsexperts medio december 2023 en deelt overeenkomsten met de inmiddels ontbonden BlackMatter- groep, die ontstond na de sluiting van DarkSide . Er zijn aanwijzingen dat de ransomware-variant die verband houdt met Kasseika het gevolg kan zijn van het feit dat een ervaren bedreigingsacteur toegang heeft gekregen tot of activa heeft gekocht van BlackMatter. Deze speculatie komt voort uit het feit dat de broncode van BlackMatter sinds de ondergang ervan in november 2021 niet openbaar is gemaakt.
Inhoudsopgave
Aanvalsvectoren die worden gebruikt om apparaten te infecteren met de Kasseika-ransomware
De aanvalsreeksen van Kasseika beginnen met een phishing-e-mail die is ontworpen voor initiële toegang, gevolgd door de inzet van Remote Access Tools (RAT's) om geprivilegieerde toegang te verkrijgen en lateraal binnen het beoogde netwerk te navigeren. Er is met name waargenomen dat bedreigingsactoren binnen deze campagne het opdrachtregelhulpprogramma Sysinternals PsExec van Microsoft gebruiken om onveilige batchscripts uit te voeren. Dit script controleert op de aanwezigheid van een proces met de naam 'Martini.exe' en beëindigt het, indien gedetecteerd, om ervoor te zorgen dat slechts één exemplaar van het proces op de machine wordt uitgevoerd.
De primaire rol van het uitvoerbare bestand 'Martini.exe' is het downloaden en uitvoeren van het stuurprogramma 'Martini.sys' vanaf een externe server. Deze driver is verantwoordelijk voor het uitschakelen van 991-beveiligingstools. Het is relevant om te vermelden dat 'Martini.sys' een legitiem ondertekend stuurprogramma is met de naam 'viragt64.sys', maar toch is opgenomen in de blokkeerlijst van Microsoft voor kwetsbare stuurprogramma's. Als 'Martini.sys' niet wordt gevonden, beëindigt de malware zichzelf en wordt verdere uitvoering vermeden.
Na deze fase initieert 'Martini.exe' de uitvoering van de ransomware-payload 'smartscreen_protected.exe', die verantwoordelijk is voor het coderingsproces met behulp van ChaCha20- en RSA-algoritmen. Voordat echter met de codering wordt begonnen, worden alle processen en services beëindigd die verband houden met Windows Restart Manager.
De Kasseika-ransomware eist exorbitante losgeldbetalingen van slachtoffers
Na de versleuteling wordt in elke getroffen map een losgeldbriefje geplaatst, vergezeld van een aanpassing van de achtergrond van de computer, waarop de vraag wordt weergegeven om een betaling van 50 bitcoins naar een opgegeven portemonnee-adres. Het beding is dat de betaling binnen 72 uur plaatsvindt; Anders bestaat het risico dat er elke 24 uur een extra bedrag van $ 500.000 in rekening wordt gebracht zodra de deadline is verstreken.
Bovendien moeten slachtoffers een screenshot delen die de succesvolle betaling bevestigt in een door een acteur gecontroleerde Telegram-groep om de decoderingstool te ontvangen.
De Kasseika Ransomware is uitgerust met uitgebreide bedreigingsmogelijkheden
Naast zijn primaire functies gebruikt de Kasseika Ransomware aanvullende tactieken om zijn sporen uit te wissen. Eén zo'n techniek omvat het wissen van sporen van zijn activiteiten door het binaire bestand wevtutil.exe te gebruiken om de gebeurtenislogboeken van het systeem te wissen. Met deze opdracht worden de toepassings-, beveiligings- en systeemgebeurtenislogboeken op het Windows-systeem efficiënt gewist. Door deze methode te gebruiken, werkt de ransomware discreet, waardoor het voor beveiligingstools moeilijker wordt om kwaadaardige activiteiten te detecteren en erop te reageren.
De eis om losgeld die door de Kasseika Ransomware aan de slachtoffers werd gepresenteerd, luidt:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
