Kasseika Ransomware

Nga Mezo në Ransomware, Advanced Persistent Threat (APT)

Përkthe në:

Grupi i ransomware i quajtur Kasseika ka miratuar së fundmi metodën e sulmit Bring Your Own Vulnerable Driver (BYOVD) për të neutralizuar proceset e sigurisë në sistemet e komprometuara të Windows. Kjo qasje e lidh Kasseika me grupe të tjera si Akira , AvosLocker, BlackByte dhe RobbinHood , të cilët përdorin gjithashtu teknikën BYOVD për të çaktivizuar proceset dhe shërbimet anti-malware, duke lehtësuar vendosjen e ransomware.

I identifikuar fillimisht nga ekspertët e sigurisë kibernetike në mesin e dhjetorit 2023, Kasseika ndan ngjashmëri me grupin tashmë të shpërbërë BlackMatter , i cili u shfaq pas mbylljes së DarkSide . Ka indikacione që sugjerojnë se varianti i ransomware-it i lidhur me Kasseika mund të jetë rezultat i një aktori me përvojë kërcënimi që merr akses ose blen asete nga BlackMatter. Ky spekulim lind nga fakti se kodi burimor i BlackMatter nuk është zbuluar publikisht që nga fundi i tij në nëntor 2021.

Tabela e Përmbajtjes

Vektorët e sulmit të përdorur për të infektuar pajisjet me Kasseika Ransomware

Sekuencat e sulmit të Kasseika nisin me një email phishing të krijuar për akses fillestar, të ndjekur nga vendosja e mjeteve të aksesit në distancë (RAT) për të marrë hyrje të privilegjuar dhe për të lundruar anash brenda rrjetit të synuar. Veçanërisht, aktorët e kërcënimit brenda kësaj fushate janë vërejtur duke përdorur programin e linjës së komandës Sysinternals PsExec të Microsoft për të ekzekutuar skriptin e pasigurt të grupit. Ky skript kontrollon praninë e një procesi të quajtur "Martini.exe" dhe, nëse zbulohet, e përfundon atë për të siguruar që vetëm një shembull i vetëm i procesit të ekzekutohet në makinë.

Roli kryesor i ekzekutuesit "Martini.exe" është të shkarkojë dhe ekzekutojë drejtuesin "Martini.sys" nga një server në distancë. Ky drejtues është përgjegjës për çaktivizimin e mjeteve të sigurisë 991. Është me vend të përmendet se 'Martini.sys' është një shofer i nënshkruar në mënyrë legjitime me emrin 'viragt64.sys', megjithatë ai është përfshirë në listën e bllokimit të shoferëve të cenueshëm të Microsoft. Nëse "Martini.sys" nuk gjendet, malware përfundon vetë, duke shmangur ekzekutimin e mëtejshëm.

Pas kësaj faze, 'Martini.exe' fillon ekzekutimin e ngarkesës së ransomware, 'smartscreen_protected.exe', përgjegjëse për procesin e enkriptimit duke përdorur algoritmet ChaCha20 dhe RSA. Megjithatë, përpara se të fillojë kriptimi, ai përfundon të gjitha proceset dhe shërbimet që lidhen me "Menaxherin e Rinisjes së Windows".

Ransomware Kasseika kërkon pagesa të tepruara nga viktimat

Pas kriptimit, një shënim shpërblimi depozitohet në çdo drejtori të prekur, i shoqëruar nga një modifikim i sfondit të kompjuterit që shfaq një kërkesë për një pagesë 50-bitcoin në një adresë të caktuar portofol. Detyrimi është që pagesa të bëhet brenda 72 orëve; përndryshe, ekziston një kërcënim për të kryer një tarifë shtesë prej 500,000 dollarë çdo 24 orë pasi të përfundojë afati.

Për më tepër, viktimave u kërkohet të ndajnë një pamje të ekranit që konfirmon pagesën e suksesshme në një grup Telegram të kontrolluar nga aktori për të marrë mjetin e deshifrimit.