Kasseika Ransomware bruger avanceret infiltrationsmetode
Ransomware-gruppen ved navn Kasseika har for nylig adopteret Bring Your Own Vulnerable Driver (BYOVD) angrebsteknikken for at deaktivere sikkerhedsrelaterede processer på kompromitterede Windows-værter. Dette justerer det med andre grupper som Akira, AvosLocker, BlackByte og RobbinHood.
Denne tilgang gør det muligt for trusselsaktører at afslutte antivirus-processer og -tjenester, hvilket letter implementeringen af ransomware, ifølge en analyse fra Trend Micro tirsdag. Opdaget af cybersikkerhedsfirmaet i midten af december 2023, deler Kasseika ligheder med det nu hedengangne BlackMatter, som opstod efter lukningen af DarkSide.
Kasseika menes at have links til BlackMatter
Noget tyder på, at Kasseika kan være værket af en erfaren trusselsaktør, der fik adgang til BlackMatter, da sidstnævntes kildekode ikke er blevet lækket offentligt siden dens bortgang i november 2021.
Angrebsprocessen iværksat af Kasseika begynder typisk med en phishing-e-mail til indledende adgang. Efterfølgende implementeres fjernadministrationsværktøjer (RAT'er) for at få privilegeret adgang og bevæge sig sideværts inden for målnetværket.
Trusselsaktørerne bruger Microsofts Sysinternals PsExec kommandolinjeværktøj til at udføre et ondsindet batchscript. Dette script kontrollerer, om der findes en proces med navnet "Martini.exe", og afslutter den, hvis den findes, og sikrer, at kun én forekomst af processen kører på maskinen.
Infektionsmåde af Kasseika
Den eksekverbare "Martini.exe" downloader og kører "Martini.sys"-driveren fra en fjernserver for at deaktivere 991 sikkerhedsværktøjer. Det er bemærkelsesværdigt, at "Martini.sys" er en legitim signeret driver ved navn "viragt64.sys", som Microsoft har tilføjet til sin sårbare driverblokeringsliste.
Hvis "Martini.sys" ikke er til stede, stopper malwaren af sig selv, hvilket understreger chaufførens afgørende rolle i forsvars-unddragelse. Efter dette trin starter "Martini.exe" ransomware-nyttelasten ("smartscreen_protected.exe"), som bruger ChaCha20 og RSA-algoritmer til kryptering. Dette sker efter afslutning af alle processer og tjenester, der har adgang til Windows Restart Manager.
Ransomwaren efterlader en note i hver krypteret mappe og ændrer computerens tapet med et krav om en 50-bitcoin betaling inden for 72 timer. Manglende overholdelse risikerer yderligere $500.000 hver 24. time efter deadline. Ofre er forpligtet til at sende et betalingsskærmbillede til en skuespillerkontrolleret Telegram-gruppe for at modtage en dekryptering.
Kasseika ransomware anvender yderligere foranstaltninger, såsom at rydde systemets hændelseslogfiler ved hjælp af wevtutil.exe binær, for at slette spor af dets aktivitet.
