Kasseika Ransomware

กลุ่มแรนซัมแวร์ชื่อ Kasseika ได้นำวิธีการโจมตี Bring Your Own Vulnerable Driver (BYOVD) มาใช้เพื่อต่อต้านกระบวนการรักษาความปลอดภัยบนระบบ Windows ที่ถูกบุกรุก แนวทางนี้ทำให้ Kasseika สอดคล้องกับกลุ่มอื่นๆ เช่น Akira , AvosLocker, BlackByte และ RobbinHood ซึ่งใช้เทคนิค BYOVD เพื่อปิดกระบวนการและบริการป้องกันมัลแวร์ เพื่ออำนวยความสะดวกในการติดตั้งแรนซัมแวร์

Kasseika ได้รับการระบุครั้งแรกโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในช่วงกลางเดือนธันวาคม พ.ศ. 2566 มีความคล้ายคลึงกับกลุ่ม BlackMatter ที่ยุบไปแล้วซึ่งเกิดขึ้นหลังจากการปิดตัวของ DarkSide มีข้อบ่งชี้ว่าตัวแปรเรียกค่าไถ่ที่เกี่ยวข้องกับ Kasseika อาจเป็นผลมาจากผู้คุกคามที่มีประสบการณ์ซึ่งเข้าถึงหรือซื้อสินทรัพย์จาก BlackMatter การคาดเดานี้เกิดขึ้นจากข้อเท็จจริงที่ว่าซอร์สโค้ดของ BlackMatter ไม่ได้ถูกเปิดเผยต่อสาธารณะนับตั้งแต่การสิ้นสุดในเดือนพฤศจิกายน 2021

เวกเตอร์โจมตีที่ใช้ในการแพร่เชื้ออุปกรณ์ด้วย Kasseika Ransomware

ลำดับการโจมตีของ Kasseika เริ่มต้นด้วยอีเมลฟิชชิ่งที่ออกแบบมาสำหรับการเข้าถึงครั้งแรก ตามด้วยการปรับใช้ Remote Access Tools (RAT) เพื่อรับสิทธิ์ในการเข้าใช้งานและนำทางภายในเครือข่ายเป้าหมายด้านข้าง โดยเฉพาะอย่างยิ่ง ผู้คุกคามภายในแคมเปญนี้ถูกสังเกตเห็นว่าใช้โปรแกรมอรรถประโยชน์บรรทัดคำสั่ง Sysinternals PsExec ของ Microsoft เพื่อเรียกใช้สคริปต์ชุดที่ไม่ปลอดภัย สคริปต์นี้จะตรวจสอบการมีอยู่ของกระบวนการที่เรียกว่า 'Martini.exe' และหากตรวจพบ ก็จะยุติกระบวนการนั้นเพื่อให้แน่ใจว่ากระบวนการทำงานบนเครื่องเพียงอินสแตนซ์เดียวเท่านั้น

บทบาทหลักของไฟล์ปฏิบัติการ 'Martini.exe' คือการดาวน์โหลดและเรียกใช้ไดรเวอร์ 'Martini.sys' จากเซิร์ฟเวอร์ระยะไกล ไดรเวอร์นี้มีหน้าที่ปิดการใช้งานเครื่องมือรักษาความปลอดภัย 991 เป็นเรื่องที่เกี่ยวข้องที่จะกล่าวถึงว่า 'Martini.sys' เป็นไดรเวอร์ที่ลงนามอย่างถูกต้องตามกฎหมายในชื่อ 'viragt64.sys' แต่ยังถูกรวมอยู่ในรายการบล็อกไดรเวอร์ที่มีช่องโหว่ของ Microsoft หากไม่พบ 'Martini.sys' มัลแวร์จะยุติการทำงานเอง และหลีกเลี่ยงการดำเนินการต่อไป

หลังจากขั้นตอนนี้ 'Martini.exe' จะเริ่มต้นการดำเนินการเพย์โหลดแรนซัมแวร์ 'smartscreen_protected.exe' ซึ่งรับผิดชอบกระบวนการเข้ารหัสโดยใช้อัลกอริธึม ChaCha20 และ RSA อย่างไรก็ตาม ก่อนที่จะเริ่มการเข้ารหัส ระบบจะยุติกระบวนการและบริการทั้งหมดที่เกี่ยวข้องกับ Windows Restart Manager

Kasseika Ransomware เรียกร้องค่าไถ่ที่สูงเกินไปจากเหยื่อ

หลังจากการเข้ารหัส ข้อความเรียกค่าไถ่จะถูกฝากไว้ในแต่ละไดเร็กทอรีที่ได้รับผลกระทบ พร้อมด้วยการปรับเปลี่ยนวอลเปเปอร์ของคอมพิวเตอร์เพื่อแสดงความต้องการชำระเงิน 50 บิตคอยน์ ไปยังที่อยู่กระเป๋าเงินที่ระบุ กำหนดชำระเงินภายใน 72 ชั่วโมง มิฉะนั้น อาจมีการขู่ว่าจะเรียกเก็บเงินเพิ่มเติม 500,000 ดอลลาร์ทุกๆ 24 ชั่วโมงเมื่อกำหนดเวลาสิ้นสุด

นอกจากนี้ ผู้ที่ตกเป็นเหยื่อจะต้องแชร์ภาพหน้าจอเพื่อยืนยันการชำระเงินในกลุ่ม Telegram ที่ควบคุมโดยนักแสดงเพื่อรับเครื่องมือถอดรหัส

Kasseika Ransomware มาพร้อมกับความสามารถในการคุกคามที่กว้างขวาง

นอกเหนือจากฟังก์ชันหลักแล้ว Kasseika Ransomware ยังใช้กลยุทธ์เพิ่มเติมเพื่อปกปิดร่องรอยของมัน เทคนิคหนึ่งดังกล่าวเกี่ยวข้องกับการลบร่องรอยของกิจกรรมโดยใช้ไบนารี wevtutil.exe เพื่อล้างบันทึกเหตุการณ์ของระบบ คำสั่งนี้จะล้างบันทึกเหตุการณ์ของแอปพลิเคชัน ความปลอดภัย และระบบบนระบบ Windows ได้อย่างมีประสิทธิภาพ ด้วยการใช้วิธีการนี้ แรนซัมแวร์จะทำงานอย่างรอบคอบ เพิ่มความยากลำบากให้กับเครื่องมือรักษาความปลอดภัยในการตรวจจับและตอบสนองต่อกิจกรรมที่เป็นอันตราย

ข้อเรียกร้องค่าไถ่ที่นำเสนอโดย Kasseika Ransomware แก่เหยื่อมีดังนี้:

  'Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'