Kasseika Ransomware
Skupina ransomvéru s názvom Kasseika nedávno prijala metódu útoku Bring Your Own Vulnerable Driver (BYOVD) na neutralizáciu bezpečnostných procesov na ohrozených systémoch Windows. Tento prístup spája Kasseiku s inými skupinami, ako sú Akira , AvosLocker, BlackByte a RobbinHood , ktoré tiež využívajú techniku BYOVD na vypnutie antimalvérových procesov a služieb, čo uľahčuje nasadenie ransomvéru.
Kasseika, ktorá bola pôvodne identifikovaná odborníkmi na kybernetickú bezpečnosť v polovici decembra 2023, zdieľa podobnosti s dnes už rozpustenou skupinou BlackMatter , ktorá vznikla po vypnutí DarkSide . Existujú náznaky, že variant ransomvéru spojený s Kasseikou môže byť výsledkom toho, že skúsený aktér hrozieb získal prístup k aktívam alebo ich odkúpil od BlackMatter. Táto špekulácia vychádza zo skutočnosti, že zdrojový kód BlackMatter nebol zverejnený od jeho zániku v novembri 2021.
Obsah
Zaútočte na vektory používané na infikovanie zariadení pomocou ransomvéru Kasseika
Útočné sekvencie spoločnosti Kasseika sa začínajú phishingovým e-mailom určeným na počiatočný prístup, po ktorom nasleduje nasadenie nástrojov vzdialeného prístupu (RAT) na získanie privilegovaného vstupu a bočnú navigáciu v rámci cieľovej siete. Pozoruhodné je, že aktéri hrozieb v rámci tejto kampane využívajú nástroj príkazového riadka Sysinternals PsExec od spoločnosti Microsoft na spustenie nebezpečného dávkového skriptu. Tento skript skontroluje prítomnosť procesu s názvom 'Martini.exe' a ak sa zistí, ukončí ho, aby sa zabezpečilo, že na počítači beží iba jedna inštancia procesu.
Primárnou úlohou spustiteľného súboru 'Martini.exe' je stiahnuť a spustiť ovládač 'Martini.sys' zo vzdialeného servera. Tento ovládač je zodpovedný za deaktiváciu nástrojov zabezpečenia 991. Je vhodné spomenúť, že 'Martini.sys' je legitímne podpísaný ovládač s názvom 'viragt64.sys', napriek tomu bol zahrnutý do zoznamu blokovaných zraniteľných ovládačov spoločnosti Microsoft. Ak sa „Martini.sys“ nenájde, malvér sa sám ukončí a zabráni ďalšiemu spusteniu.
Po tejto fáze spustí „Martini.exe“ spustenie dátovej časti ransomvéru „smartscreen_protected.exe“, ktorá je zodpovedná za proces šifrovania pomocou algoritmov ChaCha20 a RSA. Pred spustením šifrovania však ukončí všetky procesy a služby spojené so správcom reštartu systému Windows.
Kasseika Ransomware vyžaduje od obetí prehnané výkupné
Po zašifrovaní sa do každého ovplyvneného adresára uloží výkupné, spolu s úpravou tapety počítača zobrazujúcou požiadavku na platbu 50 bitcoinov na zadanú adresu peňaženky. Podmienkou je uskutočniť platbu do 72 hodín; v opačnom prípade hrozí účtovanie dodatočných 500 000 USD každých 24 hodín po uplynutí lehoty.
Okrem toho sa od obetí vyžaduje, aby zdieľali snímku obrazovky potvrdzujúcu úspešnú platbu v skupine telegramov kontrolovanej hercom, aby dostali dešifrovací nástroj.
Kasseika Ransomware je vybavený rozsiahlymi hroziacimi schopnosťami
Okrem svojich primárnych funkcií využíva Kasseika Ransomware aj ďalšie taktiky, aby zakryl svoje stopy. Jedna z takýchto techník zahŕňa vymazanie stôp jeho aktivít využitím binárneho súboru wevtutil.exe na vymazanie systémových denníkov udalostí. Tento príkaz efektívne vymaže denníky udalostí aplikácií, zabezpečenia a systému v systéme Windows. Využitím tejto metódy ransomvér funguje diskrétne, čo zvyšuje ťažkosti bezpečnostných nástrojov pri detekcii a reagovaní na škodlivé aktivity.
Žiadosť o výkupné, ktorú obetiam predložil Kasseika Ransomware, znie:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
