Kasseika Ransomware

கஸ்ஸீக்கா என்ற பெயரிடப்பட்ட ransomware குழு சமீபத்தில் சமரசம் செய்யப்பட்ட விண்டோஸ் கணினிகளில் பாதுகாப்பு செயல்முறைகளை நடுநிலையாக்க உங்கள் சொந்த பாதிக்கப்படக்கூடிய இயக்கி (BYOVD) தாக்குதல் முறையை ஏற்றுக்கொண்டது. இந்த அணுகுமுறை Kasseika ஐ Akira , AvosLocker , BlackByte , மற்றும் RobbinHood போன்ற பிற குழுக்களுடன் சீரமைக்கிறது, அவர்கள் மால்வேர் எதிர்ப்பு செயல்முறைகள் மற்றும் சேவைகளை முடக்குவதற்கு BYOVD நுட்பத்தைப் பயன்படுத்துகின்றனர், இது ransomware வரிசைப்படுத்தலை எளிதாக்குகிறது.

2023 டிசம்பர் நடுப்பகுதியில் சைபர் பாதுகாப்பு நிபுணர்களால் முதலில் அடையாளம் காணப்பட்டது, டார்க்சைடு நிறுத்தப்பட்டதைத் தொடர்ந்து வெளிவந்த கஸ்ஸீக்கா இப்போது கலைக்கப்பட்ட பிளாக்மேட்டர் குழுவுடன் ஒற்றுமையைப் பகிர்ந்து கொள்கிறது. Kasseika உடன் தொடர்புடைய ransomware மாறுபாடு, ஒரு அனுபவம் வாய்ந்த அச்சுறுத்தல் நடிகர் பிளாக்மேட்டரிடமிருந்து சொத்துக்களை அணுகுவது அல்லது வாங்குவது ஆகியவற்றின் விளைவாக இருக்கலாம் என்று குறிப்புகள் உள்ளன. நவம்பர் 2021 இல் பிளாக்மேட்டரின் மறைவுக்குப் பிறகு அதன் மூலக் குறியீடு பகிரங்கமாக வெளியிடப்படவில்லை என்ற உண்மையிலிருந்து இந்த ஊகம் எழுகிறது.

Kasseika Ransomware மூலம் சாதனங்களைப் பாதிக்கப் பயன்படும் தாக்குதல் வெக்டர்கள்

Kasseika இன் தாக்குதல் காட்சிகள் ஆரம்ப அணுகலுக்காக வடிவமைக்கப்பட்ட ஃபிஷிங் மின்னஞ்சலுடன் தொடங்குகின்றன, அதைத் தொடர்ந்து ரிமோட் அக்சஸ் டூல்ஸ் (RATs) வரிசைப்படுத்தப்பட்டு சலுகை பெற்ற நுழைவு மற்றும் இலக்கு நெட்வொர்க்கில் பக்கவாட்டில் செல்லவும். குறிப்பிடத்தக்க வகையில், இந்த பிரச்சாரத்தில் உள்ள அச்சுறுத்தல் நடிகர்கள் மைக்ரோசாப்டின் Sysinternals PsExec கட்டளை-வரி பயன்பாட்டைப் பயன்படுத்தி பாதுகாப்பற்ற தொகுதி ஸ்கிரிப்டை செயல்படுத்துவதைக் கவனிக்கிறார்கள். இந்த ஸ்கிரிப்ட் 'Martini.exe' எனப்படும் செயல்முறையின் இருப்பை சரிபார்க்கிறது மற்றும் கண்டறியப்பட்டால், கணினியில் ஒரே ஒரு செயல்முறை மட்டுமே இயங்குவதை உறுதிசெய்ய அதை நிறுத்துகிறது.

'Martini.exe' இயங்குதளத்தின் முதன்மைப் பணி, 'Martini.sys' இயக்கியை ரிமோட் சர்வரிலிருந்து பதிவிறக்கம் செய்து செயல்படுத்துவதாகும். 991 பாதுகாப்பு கருவிகளை முடக்குவதற்கு இந்த இயக்கி பொறுப்பு. 'Martini.sys' என்பது 'viragt64.sys' என்ற பெயருடன் சட்டப்பூர்வமாக கையொப்பமிடப்பட்ட இயக்கி என்பதைக் குறிப்பிடுவது பொருத்தமானது, இருப்பினும் இது மைக்ரோசாப்டின் பாதிக்கப்படக்கூடிய இயக்கி தடுப்புப்பட்டியலில் சேர்க்கப்பட்டுள்ளது. 'Martini.sys' கண்டுபிடிக்கப்படவில்லை என்றால், தீம்பொருள் தன்னைத்தானே முடித்துக்கொள்கிறது, மேலும் செயல்படுத்துவதைத் தவிர்க்கிறது.

இந்த கட்டத்தைத் தொடர்ந்து, 'Martini.exe' ஆனது ChaCha20 மற்றும் RSA அல்காரிதம்களைப் பயன்படுத்தி குறியாக்க செயல்முறைக்கு பொறுப்பான 'smartscreen_protected.exe' என்ற ransomware பேலோடைச் செயல்படுத்துகிறது. இருப்பினும், குறியாக்கத்தைத் தொடங்குவதற்கு முன், இது Windows Restart Manager உடன் தொடர்புடைய அனைத்து செயல்முறைகளையும் சேவைகளையும் நிறுத்துகிறது.

கஸ்ஸீக்கா ரான்சம்வேர் பாதிக்கப்பட்டவர்களிடமிருந்து அதிகப்படியான மீட்கும் தொகையைக் கோருகிறது

குறியாக்கத்தைத் தொடர்ந்து, பாதிக்கப்பட்ட ஒவ்வொரு கோப்பகத்திலும் ஒரு மீட்புக் குறிப்பு டெபாசிட் செய்யப்படுகிறது, அதனுடன் கணினியின் வால்பேப்பரை மாற்றியமைத்து, குறிப்பிட்ட வாலட் முகவரிக்கு 50-பிட்காயின் செலுத்துவதற்கான கோரிக்கையைக் காட்டுகிறது. 72 மணி நேரத்திற்குள் பணம் செலுத்த வேண்டும் என்பது நிபந்தனை; இல்லையெனில், காலக்கெடு முடிந்தவுடன் ஒவ்வொரு 24 மணி நேரத்திற்கும் $500,000 கூடுதல் கட்டணம் வசூலிக்கப்படும் அபாயம் உள்ளது.

மேலும், பாதிக்கப்பட்டவர்கள் டிக்ரிப்ஷன் கருவியைப் பெற, நடிகர் கட்டுப்பாட்டில் உள்ள டெலிகிராம் குழுவில் வெற்றிகரமாக பணம் செலுத்தியதை உறுதிப்படுத்தும் ஸ்கிரீன் ஷாட்டைப் பகிர வேண்டும்.

Kasseika Ransomware விரிவான அச்சுறுத்தல் திறன்களைக் கொண்டுள்ளது

அதன் முதன்மை செயல்பாடுகளுக்கு கூடுதலாக, கஸ்ஸிகா ரான்சம்வேர் அதன் தடங்களை மறைக்க கூடுதல் தந்திரங்களைப் பயன்படுத்துகிறது. கணினியின் நிகழ்வுப் பதிவுகளை அழிக்க wevtutil.exe பைனரியைப் பயன்படுத்துவதன் மூலம் அதன் செயல்பாடுகளின் தடயங்களை அழிப்பது போன்ற ஒரு நுட்பம் அடங்கும். இந்த கட்டளை விண்டோஸ் கணினியில் உள்ள பயன்பாடு, பாதுகாப்பு மற்றும் கணினி நிகழ்வு பதிவுகளை திறமையாக அழிக்கிறது. இந்த முறையைப் பயன்படுத்துவதன் மூலம், ransomware புத்திசாலித்தனமாக செயல்படுகிறது, தீங்கிழைக்கும் செயல்களைக் கண்டறிந்து பதிலளிப்பதில் பாதுகாப்புக் கருவிகளின் சிரமத்தை அதிகரிக்கிறது.

பாதிக்கப்பட்டவர்களுக்கு Kasseika Ransomware வழங்கிய மீட்கும் கோரிக்கை பின்வருமாறு:

  'Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'