Kasseika Ransomware verwendet eine fortschrittliche Infiltrationsmethode

Die Ransomware-Gruppe namens Kasseika hat kürzlich die Angriffstechnik „Bring Your Own Vulnerable Driver“ (BYOVD) übernommen, um sicherheitsrelevante Prozesse auf gefährdeten Windows-Hosts zu deaktivieren. Dadurch wird es mit anderen Gruppen wie Akira, AvosLocker, BlackByte und RobbinHood in Einklang gebracht.

Laut einer Analyse von Trend Micro vom Dienstag ermöglicht dieser Ansatz es Bedrohungsakteuren, Antivirenprozesse und -dienste zu beenden, was die Verbreitung von Ransomware erleichtert. Kasseika wurde Mitte Dezember 2023 von der Cybersicherheitsfirma entdeckt und weist Ähnlichkeiten mit dem inzwischen aufgelösten BlackMatter auf, das nach der Schließung von DarkSide entstand.

Kasseika soll Verbindungen zu BlackMatter haben

Es gibt Hinweise darauf, dass Kasseika das Werk eines erfahrenen Bedrohungsakteurs sein könnte, der sich Zugang zu BlackMatter verschafft hat, da dessen Quellcode seit seinem Untergang im November 2021 nicht mehr öffentlich durchgesickert ist.

Der von Kasseika initiierte Angriffsprozess beginnt typischerweise mit einer Phishing-E-Mail für den Erstzugriff. Anschließend werden Remote Administration Tools (RATs) eingesetzt, um privilegierten Zugriff zu erhalten und sich seitlich innerhalb des Zielnetzwerks zu bewegen.

Die Bedrohungsakteure verwenden das Befehlszeilendienstprogramm Sysinternals PsExec von Microsoft, um ein bösartiges Batch-Skript auszuführen. Dieses Skript prüft, ob ein Prozess mit dem Namen „Martini.exe“ vorhanden ist, und beendet ihn, wenn er gefunden wird. Dadurch wird sichergestellt, dass nur eine Instanz des Prozesses auf dem Computer ausgeführt wird.

Art der Kasseika-Infektion

Die ausführbare Datei „Martini.exe“ lädt den Treiber „Martini.sys“ von einem Remote-Server herunter und führt ihn aus, um 991-Sicherheitstools zu deaktivieren. Es ist bemerkenswert, dass „Martini.sys“ ein legitimer signierter Treiber mit dem Namen „viragt64.sys“ ist, den Microsoft zu seiner Blockliste für anfällige Treiber hinzugefügt hat.

Falls „Martini.sys“ nicht vorhanden ist, beendet sich die Malware selbst, was die entscheidende Rolle des Treibers bei der Umgehung der Abwehr unterstreicht. Nach diesem Schritt initiiert „Martini.exe“ die Ransomware-Payload („smartscreen_protected.exe“), die ChaCha20- und RSA-Algorithmen zur Verschlüsselung verwendet. Dies geschieht, nachdem alle Prozesse und Dienste beendet wurden, die auf den Windows-Neustart-Manager zugreifen.

Die Ransomware hinterlässt in jedem verschlüsselten Verzeichnis eine Notiz und verändert das Hintergrundbild des Computers mit der Aufforderung, innerhalb von 72 Stunden eine Zahlung in Höhe von 50 Bitcoins zu leisten. Bei Nichteinhaltung drohen alle 24 Stunden nach Ablauf der Frist zusätzliche 500.000 US-Dollar. Um einen Entschlüsseler zu erhalten, müssen Opfer einen Zahlungs-Screenshot an eine vom Akteur kontrollierte Telegram-Gruppe posten.

Die Kasseika-Ransomware nutzt zusätzliche Maßnahmen, wie das Löschen der Ereignisprotokolle des Systems mithilfe der Binärdatei wevtutil.exe, um Spuren ihrer Aktivität zu löschen.