Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Ransomware Kasseika Ransomware

Kasseika Ransomware

Đến năm Mezo năm Ransomware, Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

Nhóm ransomware có tên Kasseika gần đây đã áp dụng phương thức tấn công Mang theo trình điều khiển dễ bị tổn thương của riêng bạn (BYOVD) để vô hiệu hóa các quy trình bảo mật trên các hệ thống Windows bị xâm nhập. Cách tiếp cận này phù hợp Kasseika với các nhóm khác như Akira , AvosLocker, BlackByteRobbinHood , những nhóm cũng sử dụng kỹ thuật BYOVD để tắt các quy trình và dịch vụ chống phần mềm độc hại, tạo điều kiện thuận lợi cho việc triển khai ransomware.

Ban đầu được các chuyên gia an ninh mạng xác định vào giữa tháng 12 năm 2023, Kasseika có những điểm tương đồng với nhóm BlackMatter hiện đã tan rã, nổi lên sau khi DarkSide ngừng hoạt động. Có nhiều dấu hiệu cho thấy biến thể ransomware liên quan đến Kasseika có thể là kết quả của việc một kẻ đe dọa có kinh nghiệm có được quyền truy cập hoặc mua tài sản từ BlackMatter. Suy đoán này xuất phát từ việc mã nguồn của BlackMatter chưa được tiết lộ công khai kể từ khi nó ngừng hoạt động vào tháng 11 năm 2021.

Các vectơ tấn công được sử dụng để lây nhiễm phần mềm tống tiền Kasseika vào các thiết bị

Chuỗi tấn công của Kasseika bắt đầu bằng một email lừa đảo được thiết kế để truy cập ban đầu, sau đó là triển khai Công cụ truy cập từ xa (RAT) để có được quyền truy cập đặc quyền và điều hướng ngang trong mạng được nhắm mục tiêu. Đáng chú ý, người ta đã quan sát thấy các tác nhân đe dọa trong chiến dịch này sử dụng tiện ích dòng lệnh Sysinternals PsExec của Microsoft để thực thi tập lệnh bó không an toàn. Tập lệnh này kiểm tra sự hiện diện của quy trình có tên 'Martini.exe' và nếu được phát hiện, sẽ chấm dứt quy trình đó để đảm bảo chỉ một phiên bản duy nhất của quy trình chạy trên máy.

Vai trò chính của tệp thực thi 'Martini.exe' là tải xuống và thực thi trình điều khiển 'Martini.sys' từ máy chủ từ xa. Trình điều khiển này chịu trách nhiệm vô hiệu hóa công cụ bảo mật 991. Cần phải đề cập rằng 'Martini.sys' là trình điều khiển được ký hợp pháp với tên 'viragt64.sys', tuy nhiên nó đã được đưa vào danh sách chặn trình điều khiển dễ bị tấn công của Microsoft. Nếu không tìm thấy 'Martini.sys', phần mềm độc hại sẽ tự chấm dứt, tránh thực thi thêm.

Sau giai đoạn này, 'Martini.exe' bắt đầu thực thi tải trọng ransomware, 'smartscreen_protected.exe', chịu trách nhiệm về quá trình mã hóa bằng thuật toán ChaCha20 và RSA. Tuy nhiên, trước khi bắt đầu mã hóa, nó sẽ chấm dứt tất cả các quy trình và dịch vụ được liên kết với Trình quản lý khởi động lại Windows.

Ransomware Kasseika yêu cầu nạn nhân trả khoản tiền chuộc cắt cổ

Sau khi mã hóa, một thông báo đòi tiền chuộc sẽ được gửi vào mỗi thư mục bị ảnh hưởng, kèm theo việc sửa đổi hình nền của máy tính hiển thị yêu cầu thanh toán 50 bitcoin tới một địa chỉ ví được chỉ định. Quy định thực hiện thanh toán trong vòng 72 giờ; nếu không, sẽ có nguy cơ phải trả thêm khoản phí 500.000 USD mỗi 24 giờ sau khi hết thời hạn.

Hơn nữa, nạn nhân được yêu cầu chia sẻ ảnh chụp màn hình xác nhận thanh toán thành công trong nhóm Telegram do diễn viên kiểm soát để nhận công cụ giải mã.

Ransomware Kasseika được trang bị khả năng đe dọa mở rộng

Ngoài các chức năng chính, Kasseika Ransomware còn sử dụng các chiến thuật bổ sung để che giấu dấu vết của mình. Một kỹ thuật như vậy liên quan đến việc xóa dấu vết hoạt động của nó bằng cách sử dụng tệp nhị phân wevtutil.exe để xóa nhật ký sự kiện của hệ thống. Lệnh này xóa sạch nhật ký sự kiện Ứng dụng, Bảo mật và Hệ thống trên hệ thống Windows một cách hiệu quả. Bằng cách sử dụng phương pháp này, ransomware hoạt động kín đáo, gây khó khăn cho các công cụ bảo mật trong việc phát hiện và phản hồi các hoạt động độc hại.

Yêu cầu tiền chuộc mà Kasseika Ransomware đưa ra cho nạn nhân có nội dung:

  'Your data are stolen and encrypted!

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
30,163
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...