Kasseika Ransomware

రాజీపడిన విండోస్ సిస్టమ్‌లపై భద్రతా ప్రక్రియలను తటస్థీకరించడానికి కస్సీకా అనే ransomware సమూహం ఇటీవల బ్రింగ్ యువర్ ఓన్ వల్నరబుల్ డ్రైవర్ (BYOVD) దాడి పద్ధతిని అనుసరించింది. ఈ విధానం అకిరా , ఏవోస్‌లాకర్ , బ్లాక్‌బైట్ మరియు రాబిన్‌హుడ్ వంటి ఇతర సమూహాలతో కస్సీకాను సమలేఖనం చేస్తుంది, ఇవి ర్యాన్సమ్‌వేర్ యొక్క విస్తరణను సులభతరం చేయడానికి యాంటీ-మాల్వేర్ ప్రక్రియలు మరియు సేవలను ఆఫ్ చేయడానికి BYOVD సాంకేతికతను కూడా ఉపయోగిస్తాయి.

2023 డిసెంబర్ మధ్యలో సైబర్‌ సెక్యూరిటీ నిపుణులచే మొదట గుర్తించబడింది, డార్క్‌సైడ్ షట్‌డౌన్ తర్వాత ఉద్భవించిన ఇప్పుడు రద్దు చేయబడిన బ్లాక్‌మాటర్ గ్రూప్‌తో కస్సీకా సారూప్యతలను పంచుకుంది. Kasseikaతో అనుబంధించబడిన ransomware వేరియంట్, ఒక అనుభవజ్ఞుడైన బెదిరింపు నటుడు BlackMatter నుండి ఆస్తులకు యాక్సెస్‌ను పొందడం లేదా కొనుగోలు చేయడం ఫలితంగా ఏర్పడి ఉండవచ్చని సూచించే సూచనలు ఉన్నాయి. బ్లాక్‌మాటర్ యొక్క సోర్స్ కోడ్ నవంబర్ 2021లో మరణించినప్పటి నుండి బహిరంగంగా బహిర్గతం చేయబడలేదు అనే వాస్తవం నుండి ఈ ఊహాగానాలు తలెత్తాయి.

కస్సీకా రాన్సమ్‌వేర్‌తో పరికరాలను ఇన్‌ఫెక్ట్ చేయడానికి ఉపయోగించే దాడి వెక్టర్స్

Kasseika యొక్క దాడి సీక్వెన్సులు ప్రారంభ యాక్సెస్ కోసం రూపొందించబడిన ఫిషింగ్ ఇమెయిల్‌తో ప్రారంభమవుతాయి, ఆ తర్వాత ప్రత్యేక ప్రవేశాన్ని పొందేందుకు మరియు లక్ష్య నెట్‌వర్క్‌లో పార్శ్వంగా నావిగేట్ చేయడానికి రిమోట్ యాక్సెస్ సాధనాల (RATలు) విస్తరణ జరుగుతుంది. ముఖ్యంగా, ఈ ప్రచారంలోని ముప్పు నటులు అసురక్షిత బ్యాచ్ స్క్రిప్ట్‌ను అమలు చేయడానికి Microsoft యొక్క Sysinternals PsExec కమాండ్-లైన్ యుటిలిటీని ఉపయోగించడం గమనించబడింది. ఈ స్క్రిప్ట్ 'Martini.exe' అని పిలవబడే ప్రాసెస్ ఉనికిని తనిఖీ చేస్తుంది మరియు గుర్తించినట్లయితే, మెషీన్‌లో ప్రాసెస్ యొక్క ఒకే ఒక్క ఉదాహరణ మాత్రమే నడుస్తుందని నిర్ధారించడానికి దాన్ని ముగించింది.

'Martini.exe' ఎక్జిక్యూటబుల్ యొక్క ప్రాథమిక పాత్ర రిమోట్ సర్వర్ నుండి 'Martini.sys' డ్రైవర్‌ను డౌన్‌లోడ్ చేసి అమలు చేయడం. 991 భద్రతా సాధనాలను నిలిపివేయడానికి ఈ డ్రైవర్ బాధ్యత వహిస్తాడు. 'Martini.sys' అనేది 'viragt64.sys' పేరుతో చట్టబద్ధంగా సంతకం చేయబడిన డ్రైవర్ అని పేర్కొనడం సముచితం, అయినప్పటికీ ఇది Microsoft యొక్క హాని కలిగించే డ్రైవర్ బ్లాక్‌లిస్ట్‌లో చేర్చబడింది. 'Martini.sys' కనుగొనబడకపోతే, మాల్వేర్ తదుపరి అమలును నివారించడం ద్వారా దానికదే ఆగిపోతుంది.

ఈ దశను అనుసరించి, 'Martini.exe' ChaCha20 మరియు RSA అల్గారిథమ్‌లను ఉపయోగించి గుప్తీకరణ ప్రక్రియకు బాధ్యత వహించే ransomware పేలోడ్, 'smartscreen_protected.exe' యొక్క అమలును ప్రారంభిస్తుంది. అయితే, గుప్తీకరణను ప్రారంభించే ముందు, ఇది Windows Restart Managerతో అనుబంధించబడిన అన్ని ప్రక్రియలు మరియు సేవలను రద్దు చేస్తుంది.

Kasseika Ransomware బాధితుల నుండి విపరీతమైన విమోచన చెల్లింపులను డిమాండ్ చేస్తుంది

ఎన్‌క్రిప్షన్‌ను అనుసరించి, ప్రభావితమైన ప్రతి డైరెక్టరీలో రాన్సమ్ నోట్ జమ చేయబడుతుంది, దానితో పాటుగా కంప్యూటర్ వాల్‌పేపర్‌ని సవరించడంతోపాటు పేర్కొన్న వాలెట్ చిరునామాకు 50-బిట్‌కాయిన్ చెల్లింపు కోసం డిమాండ్ కనిపిస్తుంది. 72 గంటలలోపు చెల్లింపు చేయాలనేది నిబంధన; లేకపోతే, గడువు ముగిసిన తర్వాత ప్రతి 24 గంటలకు అదనంగా $500,000 ఛార్జ్ అయ్యే ప్రమాదం ఉంది.

ఇంకా, బాధితులు డిక్రిప్షన్ సాధనాన్ని స్వీకరించడానికి నటుల నియంత్రణలో ఉన్న టెలిగ్రామ్ సమూహంలో విజయవంతమైన చెల్లింపును నిర్ధారించే స్క్రీన్‌షాట్‌ను భాగస్వామ్యం చేయాలి.

Kasseika Ransomware విస్తృతమైన బెదిరింపు సామర్థ్యాలను కలిగి ఉంది

దాని ప్రాథమిక విధులతో పాటు, కస్సీకా రాన్సమ్‌వేర్ దాని ట్రాక్‌లను కవర్ చేయడానికి అదనపు వ్యూహాలను ఉపయోగిస్తుంది. సిస్టమ్ యొక్క ఈవెంట్ లాగ్‌లను క్లియర్ చేయడానికి wevtutil.exe బైనరీని ఉపయోగించడం ద్వారా దాని కార్యకలాపాల జాడలను చెరిపివేయడం అటువంటి సాంకేతికతలో ఒకటి. ఈ కమాండ్ విండోస్ సిస్టమ్‌లోని అప్లికేషన్, సెక్యూరిటీ మరియు సిస్టమ్ ఈవెంట్ లాగ్‌లను సమర్థవంతంగా తుడిచివేస్తుంది. ఈ పద్ధతిని ఉపయోగించడం ద్వారా, ransomware తెలివిగా పని చేస్తుంది, హానికరమైన కార్యకలాపాలను గుర్తించడం మరియు ప్రతిస్పందించడంలో భద్రతా సాధనాల కష్టాలను పెంచుతుంది.

బాధితులకు Kasseika Ransomware సమర్పించిన విమోచన డిమాండ్ ఇలా ఉంది:

  'Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'