Kasseika Ransomware
Skupina izsiljevalske programske opreme z imenom Kasseika je pred kratkim sprejela metodo napada Bring Your Own Vulnerable Driver (BYOVD), da nevtralizira varnostne procese v ogroženih sistemih Windows. Ta pristop usklajuje Kasseika z drugimi skupinami, kot so Akira , AvosLocker, BlackByte in RobbinHood , ki prav tako uporabljajo tehniko BYOVD za izklop procesov in storitev proti zlonamerni programski opremi, kar olajša uvajanje izsiljevalske programske opreme.
Kasseika, ki so jo strokovnjaki za kibernetsko varnost prvotno identificirali sredi decembra 2023, ima podobnosti z zdaj razpuščeno skupino BlackMatter , ki se je pojavila po zaprtju DarkSide . Obstajajo znaki, ki kažejo, da je različica izsiljevalske programske opreme, povezana s Kasseiko, lahko posledica izkušenega akterja grožnje, ki je pridobil dostop do sredstev BlackMatterja ali jih kupil od njega. Ta špekulacija izhaja iz dejstva, da izvorna koda BlackMatterja ni bila javno razkrita od njegovega prenehanja novembra 2021.
Kazalo
Vektorji napadov, ki se uporabljajo za okužbo naprav z izsiljevalsko programsko opremo Kasseika
Zaporedja napadov Kasseika se začnejo z lažnim e-poštnim sporočilom, ki je zasnovano za začetni dostop, čemur sledi uvedba orodij za oddaljeni dostop (RAT) za pridobitev privilegiranega vstopa in bočno navigacijo znotraj ciljnega omrežja. Opazili so predvsem akterje groženj v tej kampanji, ki uporabljajo Microsoftov pripomoček ukazne vrstice Sysinternals PsExec za izvajanje nevarnega paketnega skripta. Ta skript preveri prisotnost procesa, imenovanega 'Martini.exe', in ga, če je zaznan, prekine, da zagotovi, da se na računalniku izvaja samo en primerek procesa.
Primarna vloga izvršljive datoteke »Martini.exe« je prenos in izvajanje gonilnika »Martini.sys« z oddaljenega strežnika. Ta gonilnik je odgovoren za onemogočanje varnostnih orodij 991. Ustrezno je omeniti, da je »Martini.sys« zakonito podpisan gonilnik z imenom »viragt64.sys«, vendar je bil vključen na Microsoftov seznam blokiranih ranljivih gonilnikov. Če »Martini.sys« ni najden, se zlonamerna programska oprema sama ustavi in se izogne nadaljnjemu izvajanju.
Po tej fazi »Martini.exe« sproži izvajanje koristnega tovora izsiljevalske programske opreme »smartscreen_protected.exe«, ki je odgovoren za postopek šifriranja z uporabo algoritmov ChaCha20 in RSA. Vendar pa pred začetkom šifriranja prekine vse procese in storitve, povezane z Windows Restart Manager.
Izsiljevalska programska oprema Kasseika od žrtev zahteva pretirane odkupnine
Po šifriranju se v vsak prizadeti imenik odloži obvestilo o odkupnini, ki ga spremlja sprememba ozadja računalnika, ki prikazuje zahtevo po plačilu 50 bitcoinov na določen naslov denarnice. Pogoj je plačilo v 72 urah; v nasprotnem primeru obstaja grožnja dodatnih 500.000 USD stroškov vsakih 24 ur po izteku roka.
Poleg tega morajo žrtve deliti posnetek zaslona, ki potrjuje uspešno plačilo v skupini Telegram, ki jo nadzira igralec, da prejmejo orodje za dešifriranje.
Izsiljevalska programska oprema Kasseika je opremljena z obsežnimi zmožnostmi za grožnje
Poleg svojih primarnih funkcij izsiljevalska programska oprema Kasseika uporablja dodatne taktike za prikrivanje sledi. Ena taka tehnika vključuje brisanje sledi njegovih dejavnosti z uporabo binarne datoteke wevtutil.exe za brisanje sistemskih dnevnikov dogodkov. Ta ukaz učinkovito izbriše dnevnike dogodkov aplikacije, varnosti in sistema v sistemu Windows. Z uporabo te metode izsiljevalska programska oprema deluje diskretno, kar varnostnim orodjem oteži odkrivanje in odzivanje na zlonamerne dejavnosti.
Zahteva po odkupnini, ki jo je žrtvam predstavila izsiljevalska programska oprema Kasseika, se glasi:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
