Програма-вимагач Kasseika
Група програм-вимагачів під назвою Kasseika нещодавно застосувала метод атаки Bring Your Own Vulnerable Driver (BYOVD) для нейтралізації процесів безпеки в скомпрометованих системах Windows. Цей підхід об’єднує Kasseika з іншими групами, такими як Akira , AvosLocker, BlackByte і RobbinHood , які також використовують техніку BYOVD для відключення процесів і служб захисту від зловмисного програмного забезпечення, полегшуючи розгортання програм-вимагачів.
Вперше ідентифікований експертами з кібербезпеки в середині грудня 2023 року Kasseika має спільні риси з нині розформованою групою BlackMatter , яка виникла після закриття DarkSide . Існують ознаки того, що варіант програм-вимагачів, пов’язаний із Kasseika, може бути результатом того, що досвідчений загрозливий суб’єкт отримав доступ до активів BlackMatter або придбав їх. Це припущення виникає через той факт, що вихідний код BlackMatter не був оприлюднений публічно після його припинення в листопаді 2021 року.
Зміст
Вектори атак, які використовуються для зараження пристроїв програмою-вимагачем Kasseika
Послідовність атак Kasseika починається з фішингового електронного листа, призначеного для початкового доступу, з подальшим розгортанням інструментів віддаленого доступу (RAT) для отримання привілейованого входу та переміщення в межах цільової мережі. Зокрема, було помічено, що суб’єкти загрози в рамках цієї кампанії використовують утиліту командного рядка Sysinternals PsExec від Microsoft для виконання небезпечного пакетного сценарію. Цей сценарій перевіряє наявність процесу під назвою «Martini.exe» і, якщо його виявлено, завершує його, щоб забезпечити виконання лише одного екземпляра процесу на машині.
Основна роль виконуваного файлу «Martini.exe» — завантажувати та запускати драйвер «Martini.sys» із віддаленого сервера. Цей драйвер відповідає за відключення інструментів безпеки 991. Слід зазначити, що «Martini.sys» — це законно підписаний драйвер із назвою «viragt64.sys», але його включено до списку блокування вразливих драйверів Microsoft. Якщо «Martini.sys» не знайдено, зловмисне програмне забезпечення припиняє роботу, уникаючи подальшого виконання.
Після цього етапу «Martini.exe» ініціює виконання програми-вимагача «smartscreen_protected.exe», відповідальної за процес шифрування за допомогою алгоритмів ChaCha20 і RSA. Однак перед початком шифрування він завершує роботу всіх процесів і служб, пов’язаних із Windows Restart Manager.
Програмне забезпечення-вимагач Kasseika вимагає від жертв непомірні виплати викупу
Після шифрування записка про викуп зберігається в кожному ураженому каталозі, що супроводжується модифікацією фонового зображення комп’ютера, що відображає запит на оплату 50 біткойнів на вказану адресу гаманця. Умовою є здійснення платежу протягом 72 годин; інакше існує загроза стягнення додаткової плати в розмірі 500 000 доларів США кожні 24 години після закінчення кінцевого терміну.
Крім того, жертви повинні поділитися знімком екрана, який підтверджує успішний платіж, у контрольованій актором групі Telegram, щоб отримати інструмент дешифрування.
Програмне забезпечення-вимагач Kasseika має широкі загрозливі можливості
На додаток до своїх основних функцій програма-вимагач Kasseika використовує додаткові тактики, щоб замести сліди. Один із таких методів передбачає стирання слідів його діяльності за допомогою двійкового файлу wevtutil.exe для очищення системних журналів подій. Ця команда ефективно стирає журнали подій програми, безпеки та системи в системі Windows. Використовуючи цей метод, програмне забезпечення-вимагач працює непомітно, ускладнюючи інструментам безпеки виявлення зловмисних дій і реагування на них.
Програмне забезпечення-вимагач Kasseika вимагає викуп для жертв:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
