Kasseika Ransomware

名为 Kasseika 的勒索软件组织最近采用了自带漏洞驱动程序 (BYOVD) 攻击方法来破坏受感染 Windows 系统上的安全进程。这种方法使 Kasseika 与Akira 、 AvosLocker、 BlackByte和RobbinHood等其他组织保持一致，这些组织也采用 BYOVD 技术来关闭反恶意软件进程和服务，从而促进勒索软件的部署。

Kasseika 最初由网络安全专家于 2023 年 12 月中旬发现，与现已解散的BlackMatter组织有相似之处，该组织是在DarkSide关闭后出现的。有迹象表明，与 Kasseika 相关的勒索软件变体可能是经验丰富的威胁参与者获取 BlackMatter 的访问权限或从 BlackMatter 购买资产的结果。这一猜测源于 BlackMatter 的源代码自 2021 年 11 月消亡以来一直没有公开披露。

用于利用 Kasseika 勒索软件感染设备的攻击向量

Kasseika 的攻击序列以专为初始访问而设计的网络钓鱼电子邮件启动，然后部署远程访问工具 (RAT) 来获取特权访问权限并在目标网络内横向导航。值得注意的是，据观察，此活动中的威胁参与者使用 Microsoft 的 Sysinternals PsExec 命令行实用程序来执行不安全的批处理脚本。该脚本检查是否存在名为“Martini.exe”的进程，如果检测到，则终止该进程以确保计算机上仅运行该进程的单个实例。

“Martini.exe”可执行文件的主要作用是从远程服务器下载并执行“Martini.sys”驱动程序。该驱动程序负责禁用 991 安全工具。值得一提的是，“Martini.sys”是一个名为“viragt64.sys”的合法签名驱动程序，但它已包含在 Microsoft 的易受攻击的驱动程序阻止列表中。如果未找到“Martini.sys”，恶意软件将自行终止，避免进一步执行。

在此阶段之后，“Martini.exe”启动勒索软件负载“smartscreen_protected.exe”的执行，负责使用 ChaCha20 和 RSA 算法的加密过程。但是，在开始加密之前，它会终止与 Windows 重新启动管理器关联的所有进程和服务。

Kasseika 勒索软件要求受害者支付高昂的赎金

加密后，勒索信会存入每个受影响的目录中，同时会修改计算机的壁纸，显示向指定钱包地址支付 50 比特币的要求。规定72小时内付款；否则，一旦截止日期到期，就有可能每 24 小时额外收取 500,000 美元的费用。

此外，受害者还需要在攻击者控制的 Telegram 群组中分享确认已成功付款的屏幕截图，才能接收解密工具。

Kasseika 勒索软件具有广泛的威胁能力

除了其主要功能外，Kasseika 勒索软件还采用其他策略来掩盖其踪迹。其中一种技术涉及利用 wevtutil.exe 二进制文件清除系统的事件日志来擦除其活动痕迹。此命令可有效擦除 Windows 系统上的应用程序、安全和系统事件日志。通过采用这种方法，勒索软件可以谨慎地运行，从而增加了安全工具检测和响应恶意活动的难度。

Kasseika 勒索软件向受害者提出的赎金要求如下：

  'Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'