Kasseika Ransomware
Група рансомваре-а под називом Кассеика недавно је усвојила метод напада Бринг Иоур Овн Вулнерабле Дривер (БИОВД) да неутралише безбедносне процесе на компромитованим Виндовс системима. Овај приступ усклађује Кассеика са другим групама као што су Акира , АвосЛоцкер, БлацкБите и РоббинХоод , које такође користе технику БИОВД за искључивање процеса и услуга против малвера, олакшавајући примену рансомваре-а.
Првобитно идентификован од стране стручњака за сајбер безбедност средином децембра 2023. године, Кассеика дели сличности са сада распуштеном групом БлацкМаттер , која се појавила након гашења ДаркСиде-а . Постоје индиције које упућују на то да варијанта рансомваре-а повезана са Кассеиком може бити резултат тога што је искусан актер претње добио приступ или купио средства од БлацкМаттер-а. Ова спекулација произилази из чињенице да изворни код БлацкМаттер-а није јавно објављен од његовог распада у новембру 2021.
Преглед садржаја
Вектори напада који се користе за заразу уређаја Кассеика Рансомваре-ом
Кассеикине секвенце напада започињу са пхисхинг емаил-ом дизајнираним за почетни приступ, након чега следи примена алата за даљински приступ (РАТ) за добијање привилегованог уласка и навигацију бочно унутар циљане мреже. Примећено је да су актери претњи у овој кампањи примећени како користе Мицрософтов услужни програм командне линије Сисинтерналс ПсЕкец за извршавање небезбедне групне скрипте. Ова скрипта проверава присуство процеса који се зове 'Мартини.еке' и, ако се открије, прекида га како би се осигурало да се само једна инстанца процеса покреће на машини.
Примарна улога извршне датотеке 'Мартини.еке' је преузимање и извршавање драјвера 'Мартини.сис' са удаљеног сервера. Овај драјвер је одговоран за онемогућавање 991 безбедносних алата. Умесно је напоменути да је 'Мартини.сис' легитимно потписан драјвер са именом 'вирагт64.сис', али је укључен у Мицрософт-ову листу рањивих драјвера. Ако се „Мартини.сис“ не пронађе, малвер се сам поништава, избегавајући даље извршавање.
Након ове фазе, 'Мартини.еке' покреће извршавање корисног оптерећења рансомваре-а, 'смартсцреен_протецтед.еке', одговорног за процес шифровања помоћу ЦхаЦха20 и РСА алгоритама. Међутим, пре него што започне шифровање, он прекида све процесе и услуге повезане са Виндовс Рестарт Манагер.
Кассеика Рансомваре захтева превелике исплате откупнине од жртава
Након шифровања, у сваком директоријуму који је погођен, депонује се порука о откупнини, праћена модификацијом позадине рачунара која приказује захтев за плаћање 50 биткоина на одређену адресу новчаника. Одредба је да се уплата изврши у року од 72 сата; у супротном, постоји претња од додатних 500.000 УСД наплате свака 24 сата након истека рока.
Штавише, од жртава се тражи да поделе снимак екрана који потврђује успешну уплату у Телеграм групи коју контролишу актери да би примили алат за дешифровање.
Кассеика Рансомваре је опремљен опсежним претећим могућностима
Поред својих примарних функција, Кассеика Рансомваре користи додатне тактике да прикрије своје трагове. Једна таква техника укључује брисање трагова његових активности коришћењем бинарне датотеке вевтутил.еке за брисање системских евиденција догађаја. Ова команда ефикасно брише дневнике догађаја апликација, безбедности и система на Виндовс систему. Коришћењем ове методе, рансомваре ради дискретно, повећавајући потешкоће безбедносним алатима да открију и реагују на злонамерне активности.
Захтев за откупнину који је Кассеика Рансомваре поднео жртвама гласи:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
