Kasseika Ransomware

ਕੈਸੀਕਾ ਨਾਮ ਦੇ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ 'ਤੇ ਸੁਰੱਖਿਆ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਬੇਅਸਰ ਕਰਨ ਲਈ ਆਪਣੇ ਖੁਦ ਦੇ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰ (BYOVD) ਹਮਲਾ ਵਿਧੀ ਨੂੰ ਅਪਣਾਇਆ ਹੈ। ਇਹ ਪਹੁੰਚ ਕੈਸੀਕਾ ਨੂੰ ਅਕੀਰਾ , ਐਵੋਸਲੌਕਰ, ਬਲੈਕਬਾਈਟ , ਅਤੇ ਰੌਬਿਨਹੁੱਡ ਵਰਗੇ ਹੋਰ ਸਮੂਹਾਂ ਨਾਲ ਇਕਸਾਰ ਕਰਦੀ ਹੈ, ਜੋ ਰੈਨਸਮਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦੇ ਹੋਏ, ਐਂਟੀ-ਮਾਲਵੇਅਰ ਪ੍ਰਕਿਰਿਆਵਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਨੂੰ ਬੰਦ ਕਰਨ ਲਈ BYOVD ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਵੀ ਕਰਦੇ ਹਨ।

ਸ਼ੁਰੂਆਤੀ ਤੌਰ 'ਤੇ ਦਸੰਬਰ 2023 ਦੇ ਅੱਧ ਵਿੱਚ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਦੁਆਰਾ ਪਛਾਣ ਕੀਤੀ ਗਈ, ਕੈਸੀਕਾ ਹੁਣ-ਛੇਤੀ ਕੀਤੇ ਬਲੈਕਮੈਟਰ ਸਮੂਹ ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਸਾਂਝੀਆਂ ਕਰਦੀ ਹੈ, ਜੋ ਕਿ ਡਾਰਕਸਾਈਡ ਦੇ ਬੰਦ ਹੋਣ ਤੋਂ ਬਾਅਦ ਸਾਹਮਣੇ ਆਈ ਸੀ। ਅਜਿਹੇ ਸੰਕੇਤ ਹਨ ਜੋ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਕੈਸੀਕਾ ਨਾਲ ਜੁੜਿਆ ਰੈਨਸਮਵੇਅਰ ਰੂਪ ਬਲੈਕਮੈਟਰ ਤੋਂ ਸੰਪਤੀਆਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਜਾਂ ਖਰੀਦਣ ਵਾਲੇ ਤਜਰਬੇਕਾਰ ਧਮਕੀ ਅਦਾਕਾਰ ਦਾ ਨਤੀਜਾ ਹੋ ਸਕਦਾ ਹੈ। ਇਹ ਕਿਆਸਅਰਾਈਆਂ ਇਸ ਤੱਥ ਤੋਂ ਪੈਦਾ ਹੁੰਦੀਆਂ ਹਨ ਕਿ ਨਵੰਬਰ 2021 ਵਿੱਚ ਬਲੈਕਮੈਟਰ ਦੀ ਮੌਤ ਤੋਂ ਬਾਅਦ ਇਸ ਦੇ ਸਰੋਤ ਕੋਡ ਦਾ ਜਨਤਕ ਤੌਰ 'ਤੇ ਖੁਲਾਸਾ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ।

Kasseika Ransomware ਨਾਲ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ ਵਰਤੇ ਗਏ ਅਟੈਕ ਵੈਕਟਰ

ਕੈਸੀਕਾ ਦੇ ਹਮਲੇ ਦੇ ਕ੍ਰਮ ਇੱਕ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਦੇ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ ਜੋ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ, ਇਸ ਤੋਂ ਬਾਅਦ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਐਂਟਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲਸ (RATs) ਦੀ ਤੈਨਾਤੀ ਅਤੇ ਟਾਰਗੇਟ ਕੀਤੇ ਨੈਟਵਰਕ ਦੇ ਅੰਦਰ ਬਾਅਦ ਵਿੱਚ ਨੈਵੀਗੇਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਸ ਮੁਹਿੰਮ ਦੇ ਅੰਦਰ ਖਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਅਸੁਰੱਖਿਅਤ ਬੈਚ ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਉਣ ਲਈ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਦੀ Sysinternals PsExec ਕਮਾਂਡ-ਲਾਈਨ ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇਹ ਸਕ੍ਰਿਪਟ 'Martini.exe' ਨਾਮਕ ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਜਾਂਚ ਕਰਦੀ ਹੈ ਅਤੇ, ਜੇਕਰ ਖੋਜਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਇਸਨੂੰ ਬੰਦ ਕਰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਕਿ ਮਸ਼ੀਨ 'ਤੇ ਪ੍ਰਕਿਰਿਆ ਦੀ ਸਿਰਫ਼ ਇੱਕ ਹੀ ਘਟਨਾ ਚੱਲਦੀ ਹੈ।

'Martini.exe' ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੀ ਮੁੱਖ ਭੂਮਿਕਾ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ 'Martini.sys' ਡਰਾਈਵਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ ਹੈ। ਇਹ ਡਰਾਈਵਰ 991 ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਜ਼ਿਕਰਯੋਗ ਹੈ ਕਿ 'Martini.sys' 'viragt64.sys' ਨਾਮ ਨਾਲ ਇੱਕ ਕਾਨੂੰਨੀ ਤੌਰ 'ਤੇ ਹਸਤਾਖਰਿਤ ਡਰਾਈਵਰ ਹੈ, ਫਿਰ ਵੀ ਇਸਨੂੰ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੀ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰ ਬਲਾਕਲਿਸਟ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ। ਜੇਕਰ 'Martini.sys' ਨਹੀਂ ਮਿਲਦੀ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਆਪਣੇ ਆਪ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦਾ ਹੈ, ਅੱਗੇ ਚੱਲਣ ਤੋਂ ਬਚਦਾ ਹੈ।

ਇਸ ਪੜਾਅ ਤੋਂ ਬਾਅਦ, 'Martini.exe' ਰੈਨਸਮਵੇਅਰ ਪੇਲੋਡ, 'smartscreen_protected.exe' ਨੂੰ ਚਲਾਉਣ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਦਾ ਹੈ, ਜੋ ChaCha20 ਅਤੇ RSA ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਐਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਹਾਲਾਂਕਿ, ਏਨਕ੍ਰਿਪਸ਼ਨ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, ਇਹ ਵਿੰਡੋਜ਼ ਰੀਸਟਾਰਟ ਮੈਨੇਜਰ ਨਾਲ ਜੁੜੀਆਂ ਸਾਰੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦਾ ਹੈ।

ਕੈਸੀਕਾ ਰੈਨਸਮਵੇਅਰ ਪੀੜਤਾਂ ਤੋਂ ਬਹੁਤ ਜ਼ਿਆਦਾ ਰਿਹਾਈ ਦੀ ਅਦਾਇਗੀ ਦੀ ਮੰਗ ਕਰਦਾ ਹੈ

ਏਨਕ੍ਰਿਪਸ਼ਨ ਦੇ ਬਾਅਦ, ਇੱਕ ਨਿਸ਼ਚਿਤ ਵਾਲਿਟ ਪਤੇ 'ਤੇ 50-ਬਿਟਕੋਇਨ ਭੁਗਤਾਨ ਦੀ ਮੰਗ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਵਾਲੇ ਕੰਪਿਊਟਰ ਦੇ ਵਾਲਪੇਪਰ ਵਿੱਚ ਸੋਧ ਦੇ ਨਾਲ, ਪ੍ਰਭਾਵਿਤ ਹਰੇਕ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਇੱਕ ਰਿਹਾਈ ਦਾ ਨੋਟ ਜਮ੍ਹਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। 72 ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ ਭੁਗਤਾਨ ਕਰਨ ਦੀ ਸ਼ਰਤ ਹੈ; ਨਹੀਂ ਤਾਂ, ਡੈੱਡਲਾਈਨ ਦੀ ਮਿਆਦ ਪੁੱਗਣ ਤੋਂ ਬਾਅਦ ਹਰ 24 ਘੰਟਿਆਂ ਵਿੱਚ $500,000 ਦਾ ਵਾਧੂ ਚਾਰਜ ਲਗਾਉਣ ਦਾ ਖਤਰਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਪੀੜਤਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਸ਼ਨ ਟੂਲ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਅਭਿਨੇਤਾ-ਨਿਯੰਤਰਿਤ ਟੈਲੀਗ੍ਰਾਮ ਸਮੂਹ ਵਿੱਚ ਸਫਲ ਭੁਗਤਾਨ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਵਾਲਾ ਇੱਕ ਸਕ੍ਰੀਨਸ਼ੌਟ ਸਾਂਝਾ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।

Kasseika Ransomware ਵਿਆਪਕ ਧਮਕੀ ਸਮਰੱਥਾ ਨਾਲ ਲੈਸ ਹੈ

ਇਸਦੇ ਪ੍ਰਾਇਮਰੀ ਫੰਕਸ਼ਨਾਂ ਤੋਂ ਇਲਾਵਾ, ਕੈਸੀਕਾ ਰੈਨਸਮਵੇਅਰ ਆਪਣੇ ਟਰੈਕਾਂ ਨੂੰ ਕਵਰ ਕਰਨ ਲਈ ਵਾਧੂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਅਜਿਹੀ ਇੱਕ ਤਕਨੀਕ ਵਿੱਚ ਸਿਸਟਮ ਦੇ ਇਵੈਂਟ ਲੌਗਸ ਨੂੰ ਸਾਫ਼ ਕਰਨ ਲਈ wevtutil.exe ਬਾਈਨਰੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇਸਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦੇ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਮਿਟਾਉਣਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਕਮਾਂਡ ਵਿੰਡੋਜ਼ ਸਿਸਟਮ 'ਤੇ ਐਪਲੀਕੇਸ਼ਨ, ਸੁਰੱਖਿਆ, ਅਤੇ ਸਿਸਟਮ ਇਵੈਂਟ ਲੌਗਸ ਨੂੰ ਕੁਸ਼ਲਤਾ ਨਾਲ ਪੂੰਝਦੀ ਹੈ। ਇਸ ਵਿਧੀ ਨੂੰ ਲਾਗੂ ਕਰਨ ਨਾਲ, ਰੈਨਸਮਵੇਅਰ ਸਮਝਦਾਰੀ ਨਾਲ ਕੰਮ ਕਰਦਾ ਹੈ, ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਲਈ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਜਵਾਬ ਦੇਣ ਵਿੱਚ ਮੁਸ਼ਕਲ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ।

ਕੈਸੀਕਾ ਰੈਨਸਮਵੇਅਰ ਦੁਆਰਾ ਪੀੜਤਾਂ ਨੂੰ ਪੇਸ਼ ਕੀਤੀ ਫਿਰੌਤੀ ਦੀ ਮੰਗ ਇਸ ਤਰ੍ਹਾਂ ਹੈ:

  'Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'