Kasseika Ransomware
Kasseika adlı fidye yazılımı grubu, güvenliği ihlal edilmiş Windows sistemlerindeki güvenlik süreçlerini etkisiz hale getirmek için yakın zamanda Kendi Savunmasız Sürücünüzü Getir (BYOVD) saldırı yöntemini benimsedi. Bu yaklaşım Kasseika'yı, kötü amaçlı yazılımdan koruma süreçlerini ve hizmetlerini kapatmak için BYOVD tekniğini kullanan ve fidye yazılımının dağıtımını kolaylaştıran Akira , AvosLocker, BlackByte ve RobbinHood gibi diğer gruplarla aynı hizaya getiriyor.
Siber güvenlik uzmanları tarafından ilk olarak Aralık 2023 ortasında tespit edilen Kasseika, DarkSide'ın kapatılmasının ardından ortaya çıkan ve artık dağılmış olan BlackMatter grubuyla benzerlikler paylaşıyor. Kasseika ile ilişkili fidye yazılımı çeşidinin, deneyimli bir tehdit aktörünün BlackMatter'a erişim sağlaması veya varlıkları satın alması sonucu ortaya çıkabileceğini gösteren belirtiler mevcut. Bu spekülasyon, BlackMatter'ın kaynak kodunun Kasım 2021'deki ölümünden bu yana kamuya açıklanmamasından kaynaklanıyor.
İçindekiler
Kasseika Fidye Yazılımını Cihazlara Bulaştırmak İçin Kullanılan Saldırı Vektörleri
Kasseika'nın saldırı dizileri, ilk erişim için tasarlanmış bir kimlik avı e-postasıyla başlıyor, ardından ayrıcalıklı giriş elde etmek ve hedeflenen ağ içinde yanal olarak gezinmek için Uzaktan Erişim Araçlarının (RAT'lar) konuşlandırılması izliyor. Özellikle, bu kampanyadaki tehdit aktörlerinin, güvenli olmayan toplu komut dosyalarını yürütmek için Microsoft'un Sysinternals PsExec komut satırı yardımcı programını kullandıkları gözlemlendi. Bu komut dosyası, 'Martini.exe' adı verilen bir işlemin varlığını kontrol eder ve tespit edilirse, işlemin yalnızca tek bir örneğinin makinede çalışmasını sağlamak için işlemi sonlandırır.
'Martini.exe' yürütülebilir dosyasının birincil rolü, 'Martini.sys' sürücüsünü uzak bir sunucudan indirip çalıştırmaktır. Bu sürücü 991 güvenlik aracının devre dışı bırakılmasından sorumludur. 'Martini.sys'in 'viragt64.sys' adıyla yasal olarak imzalanmış bir sürücü olduğunu ancak Microsoft'un güvenlik açığı bulunan sürücü engelleme listesine dahil edildiğini belirtmekte fayda var. 'Martini.sys' bulunamazsa, kötü amaçlı yazılım kendisini sonlandırarak daha fazla yürütülmesini önler.
Bu aşamayı takiben 'Martini.exe', ChaCha20 ve RSA algoritmalarını kullanan şifreleme işleminden sorumlu 'smartscreen_protected.exe' fidye yazılımı yükünün yürütülmesini başlatır. Ancak şifrelemeye başlamadan önce Windows Yeniden Başlatma Yöneticisi ile ilişkili tüm işlemleri ve hizmetleri sonlandırır.
Kasseika Fidye Yazılımı Kurbanlardan Fahiş Fidye Ödemeleri Talep Ediyor
Şifrelemenin ardından, etkilenen her dizine, bilgisayarın duvar kağıdında belirli bir cüzdan adresine 50 bitcoinlik ödeme talebini gösteren bir değişiklikle birlikte bir fidye notu bırakılıyor. Ödemenin 72 saat içinde yapılması şartı aranıyor; aksi takdirde, son teslim tarihi sona erdiğinde her 24 saatte bir 500.000 ABD Doları tutarında ek ücret ödenmesi tehdidi ortaya çıkar.
Ayrıca kurbanların, şifre çözme aracını alabilmeleri için aktörlerin kontrol ettiği bir Telegram grubunda ödemenin başarılı olduğunu onaylayan bir ekran görüntüsünü paylaşmaları gerekiyor.
Kasseika Fidye Yazılımı Kapsamlı Tehdit Yetenekleriyle Donatılmıştır
Kasseika Ransomware, birincil işlevlerine ek olarak izlerini gizlemek için ek taktikler de kullanıyor. Böyle bir teknik, sistemin olay günlüklerini temizlemek için wevtutil.exe ikili dosyasını kullanarak etkinliklerinin izlerini silmeyi içerir. Bu komut, Windows sistemindeki Uygulama, Güvenlik ve Sistem olay günlüklerini etkili bir şekilde siler. Bu yöntemin kullanılmasıyla fidye yazılımı gizli bir şekilde çalışarak güvenlik araçlarının kötü amaçlı etkinlikleri tespit etme ve bunlara yanıt verme zorluğunu artırır.
Kasseika Ransomware'in kurbanlara sunduğu fidye talebi şöyle:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
