Kasseika Ransomware
Grupul de ransomware numit Kasseika a adoptat recent metoda de atac Bring Your Own Vulnerable Driver (BYOVD) pentru a neutraliza procesele de securitate pe sistemele Windows compromise. Această abordare aliniază Kasseika cu alte grupuri precum Akira , AvosLocker, BlackByte și RobbinHood , care folosesc, de asemenea, tehnica BYOVD pentru a dezactiva procesele și serviciile anti-malware, facilitând implementarea ransomware-ului.
Identificată inițial de experții în securitate cibernetică la jumătatea lui decembrie 2023, Kasseika are asemănări cu grupul BlackMatter , acum desființat, care a apărut în urma închiderii DarkSide . Există indicii care sugerează că varianta de ransomware asociată cu Kasseika poate fi rezultatul unui actor experimentat în amenințare care obține acces la sau cumpără active de la BlackMatter. Această speculație provine din faptul că codul sursă al BlackMatter nu a fost dezvăluit public de la dispariția sa în noiembrie 2021.
Cuprins
Vectorii de atac utilizați pentru a infecta dispozitivele cu ransomware-ul Kasseika
Secvențele de atac ale lui Kasseika inițiază cu un e-mail de phishing conceput pentru accesul inițial, urmat de implementarea instrumentelor de acces la distanță (RAT) pentru a obține acces privilegiat și a naviga lateral în rețeaua vizată. În special, actorii amenințărilor din cadrul acestei campanii au fost observați utilizând utilitarul de linie de comandă Sysinternals PsExec de la Microsoft pentru a executa scripturi de lot nesigure. Acest script verifică prezența unui proces numit „Martini.exe” și, dacă este detectat, îl încheie pentru a se asigura că numai o singură instanță a procesului rulează pe mașină.
Rolul principal al executabilului „Martini.exe” este de a descărca și executa driverul „Martini.sys” de pe un server la distanță. Acest driver este responsabil pentru dezactivarea instrumentelor de securitate 991. Este pertinent de menționat că „Martini.sys” este un driver semnat în mod legitim cu numele „viragt64.sys”, dar a fost inclus în lista de blocare a driverelor vulnerabile a Microsoft. Dacă „Martini.sys” nu este găsit, malware-ul se termină singur, evitând executarea ulterioară.
După această fază, „Martini.exe” inițiază execuția sarcinii utile de ransomware, „smartscreen_protected.exe”, responsabil pentru procesul de criptare folosind algoritmii ChaCha20 și RSA. Cu toate acestea, înainte de a începe criptarea, acesta încheie toate procesele și serviciile asociate cu Windows Restart Manager.
Ransomware-ul Kasseika cere victimelor plăți exorbitante de răscumpărare
După criptare, în fiecare director afectat este depusă o notă de răscumpărare, însoțită de o modificare a imaginii de fundal a computerului care afișează o cerere pentru o plată de 50 de bitcoin la o anumită adresă de portofel. Prevederea este efectuarea plății în termen de 72 de ore; în caz contrar, există riscul de a suporta o taxă suplimentară de 500.000 USD la fiecare 24 de ore după expirarea termenului limită.
În plus, victimele trebuie să partajeze o captură de ecran care confirmă plata reușită într-un grup Telegram controlat de actor pentru a primi instrumentul de decriptare.
Ransomware-ul Kasseika este echipat cu capacități extinse de amenințare
Pe lângă funcțiile sale principale, Kasseika Ransomware folosește tactici suplimentare pentru a-și acoperi urmele. O astfel de tehnică implică ștergerea urmelor activităților sale prin utilizarea binarului wevtutil.exe pentru a șterge jurnalele de evenimente ale sistemului. Această comandă șterge eficient jurnalele de evenimente de aplicație, securitate și sistem de pe sistemul Windows. Prin utilizarea acestei metode, ransomware-ul funcționează discret, sporind dificultatea instrumentelor de securitate de a detecta și de a răspunde la activitățile rău intenționate.
Cererea de răscumpărare prezentată de Kasseika Ransomware victimelor spune:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
