Kasseika Ransomware
Ransomware-gruppen vid namn Kasseika har nyligen antagit attackmetoden Bring Your Own Vulnerable Driver (BYOVD) för att neutralisera säkerhetsprocesser på komprometterade Windows-system. Detta tillvägagångssätt anpassar Kasseika med andra grupper som Akira , AvosLocker, BlackByte och RobbinHood , som också använder BYOVD-tekniken för att stänga av anti-malware-processer och tjänster, vilket underlättar distributionen av ransomware.
Kasseika, som ursprungligen identifierades av cybersäkerhetsexperter i mitten av december 2023, delar likheter med den nu upplösta BlackMatter -gruppen, som uppstod efter avstängningen av DarkSide . Det finns indikationer som tyder på att ransomware-varianten associerad med Kasseika kan vara resultatet av att en erfaren hotaktör har fått tillgång till eller köpt tillgångar från BlackMatter. Dessa spekulationer härrör från det faktum att BlackMatters källkod inte har offentliggjorts sedan dess bortgång i november 2021.
Innehållsförteckning
Attackvektorer som används för att infektera enheter med Kasseika Ransomware
Kasseikas attacksekvenser inleds med ett nätfiske-e-postmeddelande utformat för initial åtkomst, följt av distributionen av Remote Access Tools (RAT) för att få privilegierad ingång och navigera i sidled inom det riktade nätverket. Noterbart har hotaktörer i denna kampanj observerats använda Microsofts kommandoradsverktyg Sysinternals PsExec för att köra osäkra batchskript. Det här skriptet kontrollerar förekomsten av en process som kallas 'Martini.exe' och, om den upptäcks, avslutar den för att säkerställa att endast en enda instans av processen körs på maskinen.
Den primära rollen för den körbara "Martini.exe" är att ladda ner och köra "Martini.sys"-drivrutinen från en fjärrserver. Den här drivrutinen är ansvarig för att inaktivera 991 säkerhetsverktyg. Det är relevant att nämna att 'Martini.sys' är en legitimt signerad drivrutin med namnet 'viragt64.sys', men den har inkluderats i Microsofts blocklista för sårbara drivrutiner. Om "Martini.sys" inte hittas avslutas skadlig programvara av sig själv, vilket undviker ytterligare exekvering.
Efter denna fas initierar 'Martini.exe' exekveringen av ransomware-nyttolasten, 'smartscreen_protected.exe', ansvarig för krypteringsprocessen med ChaCha20 och RSA-algoritmer. Innan kryptering påbörjas avslutas dock alla processer och tjänster som är associerade med Windows Restart Manager.
Kasseika Ransomware kräver orimliga lösenbetalningar från offer
Efter kryptering deponeras en lösenseddel i varje påverkad katalog, åtföljd av en modifiering av datorns bakgrund som visar ett krav på en 50-bitcoin-betalning till en angiven plånboksadress. Bestämmelsen är att göra betalningen inom 72 timmar; Annars finns det ett hot om att ådra sig en extra avgift på 500 000 USD var 24:e timme när tidsfristen löper ut.
Dessutom måste offren dela en skärmdump som bekräftar den lyckade betalningen i en skådespelarekontrollerad Telegram-grupp för att få dekrypteringsverktyget.
Kasseika Ransomware är utrustad med omfattande hotfulla funktioner
Utöver sina primära funktioner använder Kasseika Ransomware ytterligare taktik för att täcka sina spår. En sådan teknik innebär att radera spår av dess aktiviteter genom att använda binären wevtutil.exe för att rensa systemets händelseloggar. Detta kommando rensar effektivt program-, säkerhets- och systemhändelseloggarna på Windows-systemet. Genom att använda den här metoden fungerar ransomware diskret, vilket ökar svårigheten för säkerhetsverktyg att upptäcka och svara på skadliga aktiviteter.
Kravet på lösen som presenterades av Kasseika Ransomware till offren lyder:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
