Kasseika Ransomware
Ang pangkat ng ransomware na pinangalanang Kasseika ay nagpatibay kamakailan ng Bring Your Own Vulnerable Driver (BYOVD) na paraan ng pag-atake upang i-neutralize ang mga proseso ng seguridad sa mga nakompromisong Windows system. Inihanay ng diskarteng ito ang Kasseika sa iba pang mga grupo gaya ng Akira , AvosLocker, BlackByte , at RobbinHood , na gumagamit din ng diskarteng BYOVD upang i-off ang mga proseso at serbisyong anti-malware, na nagpapadali sa pag-deploy ng ransomware.
Una nang natukoy ng mga eksperto sa cybersecurity noong kalagitnaan ng Disyembre 2023, ang Kasseika ay nagbabahagi ng mga pagkakatulad sa ngayon-disband na BlackMatter group, na lumitaw kasunod ng pagsasara ng DarkSide . May mga indikasyon na nagmumungkahi na ang variant ng ransomware na nauugnay sa Kasseika ay maaaring resulta ng isang karanasang aktor ng pagbabanta na nakakuha ng access o pagbili ng mga asset mula sa BlackMatter. Ang haka-haka na ito ay nagmula sa katotohanan na ang source code ng BlackMatter ay hindi pa naibubunyag sa publiko mula nang mawala ito noong Nobyembre 2021.
Talaan ng mga Nilalaman
Mga Attack Vector na Ginamit para Mahawa ang Mga Device gamit ang Kasseika Ransomware
Nagsisimula ang mga sequence ng pag-atake ni Kasseika sa isang phishing na email na idinisenyo para sa paunang pag-access, na sinusundan ng pag-deploy ng Remote Access Tools (RATs) upang makakuha ng privileged entry at mag-navigate sa gilid sa loob ng target na network. Kapansin-pansin, ang mga aktor ng pagbabanta sa loob ng kampanyang ito ay naobserbahang gumagamit ng Sysinternals PsExec command-line utility ng Microsoft upang maisagawa ang hindi ligtas na batch script. Sinusuri ng script na ito ang pagkakaroon ng prosesong tinatawag na 'Martini.exe' at, kung matukoy, tatapusin ito upang matiyak na isang pagkakataon lamang ng proseso ang tumatakbo sa makina.
Ang pangunahing tungkulin ng 'Martini.exe' na maipapatupad ay ang pag-download at pag-execute ng 'Martini.sys' na driver mula sa isang malayuang server. Ang driver na ito ay may pananagutan sa hindi pagpapagana ng 991 na mga tool sa seguridad. Mahalagang banggitin na ang 'Martini.sys' ay isang lehitimong nilagdaan na driver na may pangalang 'viragt64.sys,' ngunit ito ay kasama sa vulnerable driver blocklist ng Microsoft. Kung hindi matagpuan ang 'Martini.sys', wawakasan ng malware ang sarili nito, na maiiwasan ang karagdagang pagpapatupad.
Kasunod ng yugtong ito, sinisimulan ng 'Martini.exe' ang pagpapatupad ng ransomware payload, 'smartscreen_protected.exe,' na responsable para sa proseso ng pag-encrypt gamit ang mga algorithm ng ChaCha20 at RSA. Gayunpaman, bago simulan ang pag-encrypt, tinatapos nito ang lahat ng mga proseso at serbisyong nauugnay sa Windows Restart Manager.
Ang Kasseika Ransomware ay Humihingi ng Napakataas na Pagbabayad ng Ransom mula sa mga Biktima
Kasunod ng pag-encrypt, ang isang ransom note ay idineposito sa bawat direktoryo na apektado, na sinamahan ng pagbabago ng wallpaper ng computer na nagpapakita ng demand para sa isang 50-bitcoin na pagbabayad sa isang tinukoy na address ng wallet. Ang itinakda ay gawin ang pagbabayad sa loob ng 72 oras; kung hindi, may banta na magkaroon ng karagdagang $500,000 na singil kada 24 na oras sa sandaling mag-expire ang deadline.
Higit pa rito, ang mga biktima ay kinakailangang magbahagi ng screenshot na nagkukumpirma sa matagumpay na pagbabayad sa isang Telegram group na kontrolado ng aktor upang matanggap ang tool sa pag-decryption.
Ang Kasseika Ransomware ay Nilagyan ng Malawak na Kakayahang Pagbabanta
Bilang karagdagan sa mga pangunahing pag-andar nito, ang Kasseika Ransomware ay gumagamit ng mga karagdagang taktika upang masakop ang mga track nito. Kabilang sa isang ganoong pamamaraan ang pagbubura ng mga bakas ng mga aktibidad nito sa pamamagitan ng paggamit ng wevtutil.exe binary upang i-clear ang mga log ng kaganapan ng system. Ang utos na ito ay mahusay na pinupunasan ang mga log ng kaganapan sa Application, Security, at System sa Windows system. Sa pamamagitan ng paggamit ng paraang ito, ang ransomware ay gumagana nang maingat, na nagpapataas ng kahirapan para sa mga tool sa seguridad na makita at tumugon sa mga malisyosong aktibidad.
Ang kahilingan sa ransom na ipinakita ng Kasseika Ransomware sa mga biktima ay nagbabasa:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
