Oprogramowanie ransomware Kasseika
Grupa oprogramowania ransomware o nazwie Kasseika przyjęła niedawno metodę ataku Bring Your Own Vulnerable Driver (BYOVD) w celu zneutralizowania procesów bezpieczeństwa w zaatakowanych systemach Windows. Takie podejście łączy Kasseikę z innymi grupami, takimi jak Akira , AvosLocker, BlackByte i RobbinHood , które również wykorzystują technikę BYOVD do wyłączania procesów i usług chroniących przed złośliwym oprogramowaniem, ułatwiając wdrażanie oprogramowania ransomware.
Po raz pierwszy zidentyfikowana przez ekspertów ds. cyberbezpieczeństwa w połowie grudnia 2023 r. Kasseika jest podobna do obecnie rozwiązanej grupy BlackMatter , która powstała po zamknięciu DarkSide . Istnieją przesłanki sugerujące, że wariant oprogramowania ransomware powiązany z Kasseiką może wynikać z uzyskania przez doświadczonego ugrupowania zagrażającego dostępu do zasobów BlackMatter lub ich zakupu. Spekulacje te wynikają z faktu, że kod źródłowy BlackMatter nie został publicznie ujawniony od czasu jego upadku w listopadzie 2021 r.
Spis treści
Wektory ataku wykorzystywane do infekowania urządzeń oprogramowaniem ransomware Kasseika
Sekwencje ataków Kasseiki rozpoczynają się od wiadomości e-mail phishingowej przeznaczonej do wstępnego dostępu, po czym następuje wdrożenie narzędzi dostępu zdalnego (RAT) w celu uzyskania uprzywilejowanego dostępu i bocznej nawigacji w docelowej sieci. Warto zauważyć, że w ramach tej kampanii ugrupowania zagrażające wykorzystywały narzędzie wiersza poleceń Sysinternals PsExec firmy Microsoft do wykonywania niebezpiecznego skryptu wsadowego. Skrypt ten sprawdza obecność procesu o nazwie „Martini.exe” i w przypadku wykrycia kończy go, aby mieć pewność, że na komputerze działa tylko jedna instancja procesu.
Podstawową rolą pliku wykonywalnego „Martini.exe” jest pobieranie i uruchamianie sterownika „Martini.sys” ze zdalnego serwera. Ten sterownik jest odpowiedzialny za wyłączenie narzędzi bezpieczeństwa 991. Warto wspomnieć, że „Martini.sys” jest legalnie podpisanym sterownikiem o nazwie „viragt64.sys”, mimo że został uwzględniony na liście blokowanych sterowników podatnych na ataki firmy Microsoft. Jeżeli plik „Martini.sys” nie zostanie znaleziony, szkodliwe oprogramowanie zakończy działanie, uniemożliwiając dalsze wykonanie.
Po tej fazie „Martini.exe” inicjuje wykonanie oprogramowania ransomware „smartscreen_protected.exe”, odpowiedzialnego za proces szyfrowania przy użyciu algorytmów ChaCha20 i RSA. Jednak przed rozpoczęciem szyfrowania kończy wszystkie procesy i usługi powiązane z Menedżerem ponownego uruchamiania systemu Windows.
Ransomware Kasseika żąda od ofiar wygórowanych płatności okupu
Po zaszyfrowaniu w każdym katalogu, którego to dotyczy, zapisywana jest notatka z żądaniem okupu, której towarzyszy modyfikacja tapety komputera wyświetlająca żądanie zapłaty 50 bitcoinów na określony adres portfela. Zastrzeżeniem jest dokonanie płatności w ciągu 72 godzin; w przeciwnym razie istnieje ryzyko naliczenia dodatkowej opłaty w wysokości 500 000 USD co 24 godziny po upływie terminu.
Ponadto ofiary muszą udostępnić zrzut ekranu potwierdzający pomyślną płatność w kontrolowanej przez aktora grupie Telegram, aby otrzymać narzędzie odszyfrowujące.
Kasseika Ransomware jest wyposażony w szerokie możliwości w zakresie zagrożeń
Oprócz swoich podstawowych funkcji, Kasseika Ransomware wykorzystuje dodatkowe taktyki, aby zatrzeć swoje ślady. Jedna z takich technik polega na usuwaniu śladów jego działań poprzez wykorzystanie pliku binarnego wevtutil.exe do czyszczenia dzienników zdarzeń systemu. To polecenie skutecznie czyści dzienniki zdarzeń aplikacji, zabezpieczeń i systemu w systemie Windows. Dzięki zastosowaniu tej metody oprogramowanie ransomware działa dyskretnie, co zwiększa trudność narzędzi bezpieczeństwa w wykrywaniu szkodliwych działań i reagowaniu na nie.
Żądanie okupu przedstawiane ofiarom przez Kasseika Ransomware brzmi:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
