Kasseika Ransomware
Группа вымогателей под названием Kasseika недавно применила метод атаки «Принеси свой собственный уязвимый драйвер» (BYOVD) для нейтрализации процессов безопасности в скомпрометированных системах Windows. Этот подход объединяет Kasseika с другими группами, такими как Akira , AvosLocker, BlackByte и RobbinHood , которые также используют технику BYOVD для отключения процессов и служб защиты от вредоносных программ, облегчая развертывание программ-вымогателей.
Первоначально выявленная экспертами по кибербезопасности в середине декабря 2023 года, Кассейка имеет сходство с ныне расформированной группой BlackMatter , которая возникла после закрытия DarkSide . Есть признаки того, что вариант программы-вымогателя, связанный с Kasseika, может быть результатом того, что опытный злоумышленник получил доступ к активам BlackMatter или приобрел их. Это предположение возникает из-за того, что исходный код BlackMatter не разглашался публично с момента его закрытия в ноябре 2021 года.
Оглавление
Векторы атак, используемые для заражения устройств программой-вымогателем Kasseika
Атаки Кассейки начинаются с фишингового электронного письма, предназначенного для первоначального доступа, за которым следует развертывание инструментов удаленного доступа (RAT) для получения привилегированного доступа и горизонтального перемещения внутри целевой сети. Примечательно, что в рамках этой кампании злоумышленники использовали утилиту командной строки Microsoft Sysinternals PsExec для выполнения небезопасного пакетного сценария. Этот сценарий проверяет наличие процесса под названием «Martini.exe» и, если он обнаружен, завершает его, чтобы гарантировать, что на компьютере работает только один экземпляр процесса.
Основная роль исполняемого файла «Martini.exe» — загрузка и выполнение драйвера «Martini.sys» с удаленного сервера. Этот драйвер отвечает за отключение 991 инструмента безопасности. Уместно отметить, что «Martini.sys» — это законно подписанный драйвер с именем «viragt64.sys», однако он включен в черный список уязвимых драйверов Microsoft. Если «Martini.sys» не найден, вредоносная программа завершает свою работу, избегая дальнейшего выполнения.
После этого этапа «Martini.exe» инициирует выполнение полезной нагрузки программы-вымогателя «smartscreen_protected.exe», отвечающей за процесс шифрования с использованием алгоритмов ChaCha20 и RSA. Однако перед началом шифрования он завершает все процессы и службы, связанные с диспетчером перезапуска Windows.
Программа-вымогатель Kasseika требует от жертв непомерных выкупов
После шифрования в каждом затронутом каталоге сохраняется записка о выкупе, сопровождаемая изменением обоев компьютера, отображающих требование платежа в размере 50 биткойнов на указанный адрес кошелька. Условием является произвести платеж в течение 72 часов; в противном случае существует угроза взимания дополнительной платы в размере 500 000 долларов США каждые 24 часа после истечения крайнего срока.
Кроме того, жертвы должны поделиться снимком экрана, подтверждающим успешный платеж, в группе Telegram, контролируемой злоумышленниками, чтобы получить инструмент расшифровки.
Программа-вымогатель Kasseika обладает обширными возможностями по угрозе
Помимо своих основных функций, программа-вымогатель Kasseika использует дополнительные тактики, чтобы замести следы. Один из таких методов предполагает стирание следов его деятельности с помощью двоичного файла wevtutil.exe для очистки журналов событий системы. Эта команда эффективно очищает журналы событий приложений, безопасности и системы в системе Windows. Используя этот метод, программа-вымогатель действует незаметно, что усложняет средствам безопасности обнаружение вредоносных действий и реагирование на них.
Требование выкупа, предъявленное жертвам программой-вымогателем Kasseika, гласит:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
