Kasseika Ransomware

名為 Kasseika 的勒索軟體組織最近採用了自帶漏洞驅動程式 (BYOVD) 攻擊方法來破壞受感染 Windows 系統上的安全進程。這種方法使 Kasseika 與Akira 、 AvosLocker、 BlackByte和RobbinHood等其他組織保持一致，這些組織也採用 BYOVD 技術來關閉反惡意軟體進程和服務，從而促進勒索軟體的部署。

Kasseika 最初由網路安全專家於 2023 年 12 月中旬發現，與現已解散的BlackMatter組織有相似之處，該組織是在DarkSide關閉後出現的。有跡象表明，與 Kasseika 相關的勒索軟體變體可能是經驗豐富的威脅參與者獲取 BlackMatter 的訪問權限或從 BlackMatter 購買資產的結果。這項猜測源於 BlackMatter 的源代碼自 2021 年 11 月消亡以來一直沒有公開披露。

用於利用 Kasseika 勒索軟體感染設備的攻擊向量

Kasseika 的攻擊序列以專為初始存取而設計的網路釣魚電子郵件啟動，然後部署遠端存取工具 (RAT) 來取得特權存取權並在目標網路內橫向導航。值得注意的是，據觀察，此活動中的威脅參與者使用 Microsoft 的 Sysinternals PsExec 命令列公用程式來執行不安全的批次腳本。此腳本檢查是否存在名為「Martini.exe」的進程，如果偵測到，則終止該進程以確保電腦上僅執行該進程的單一實例。

“Martini.exe”可執行檔的主要作用是從遠端伺服器下載並執行“Martini.sys”驅動程式。此驅動程式負責停用 991 安全工具。值得一提的是，「Martini.sys」是一個名為「viragt64.sys」的合法簽章驅動程序，但它已包含在 Microsoft 的易受攻擊的驅動程式封鎖清單中。如果未找到“Martini.sys”，惡意軟體將自行終止，避免進一步執行。

在此階段之後，「Martini.exe」啟動勒索軟體負載「smartscreen_protected.exe」的執行，負責使用 ChaCha20 和 RSA 演算法的加密過程。但是，在開始加密之前，它會終止與 Windows 重新啟動管理員關聯的所有進程和服務。

Kasseika 勒索軟體要求受害者支付高昂的贖金

加密後，勒索信會存入每個受影響的目錄中，同時修改電腦的壁紙，顯示向指定錢包地址支付 50 比特幣的要求。規定72小時內付款；否則，一旦截止日期到期，就有可能每 24 小時額外收取 50 萬美元的費用。

此外，受害者還需要在攻擊者控制的 Telegram 群組中分享確認已成功付款的螢幕截圖，才能接收解密工具。

Kasseika 勒索軟體具有廣泛的威脅能力

除了主要功能外，Kasseika 勒索軟體還採用其他策略來掩蓋其痕跡。其中一種技術涉及利用 wevtutil.exe 二進位檔案清除系統的事件日誌來擦除其活動痕跡。此命令可有效擦除 Windows 系統上的應用程式、安全性和系統事件日誌。透過採用這種方法，勒索軟體可以謹慎地運行，從而增加了安全工具檢測和回應惡意活動的難度。

Kasseika 勒索軟體向受害者提出的贖金要求如下：

  'Your data are stolen and encrypted！

Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.

After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.

We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'