Το Kasseika Ransomware χρησιμοποιεί προηγμένη μέθοδο διείσδυσης

Η ομάδα ransomware με το όνομα Kasseika υιοθέτησε πρόσφατα την τεχνική επίθεσης Bring Your Own Vulnerable Driver (BYOVD) για να απενεργοποιήσει τις διαδικασίες που σχετίζονται με την ασφάλεια σε παραβιασμένους κεντρικούς υπολογιστές των Windows. Αυτό το ευθυγραμμίζει με άλλες ομάδες όπως Akira, AvosLocker, BlackByte και RobbinHood.

Αυτή η προσέγγιση επιτρέπει στους φορείς απειλών να τερματίζουν διαδικασίες και υπηρεσίες προστασίας από ιούς, διευκολύνοντας την ανάπτυξη ransomware, σύμφωνα με ανάλυση της Trend Micro την Τρίτη. Ανακαλύφθηκε από την εταιρεία κυβερνοασφάλειας στα μέσα Δεκεμβρίου 2023, η Kasseika μοιράζεται ομοιότητες με το πλέον ανενεργό BlackMatter, το οποίο προέκυψε μετά το κλείσιμο του DarkSide.

Η Kasseika πιστεύεται ότι έχει συνδέσμους με το BlackMatter

Υπάρχουν ενδείξεις ότι η Kasseika μπορεί να είναι έργο ενός έμπειρου ηθοποιού απειλών που απέκτησε πρόσβαση στο BlackMatter, καθώς ο πηγαίος κώδικας του τελευταίου δεν έχει διαρρεύσει δημόσια από τον θάνατο του, τον Νοέμβριο του 2021.

Η διαδικασία επίθεσης που ξεκίνησε από την Kasseika ξεκινά συνήθως με ένα ηλεκτρονικό "phishing" για αρχική πρόσβαση. Στη συνέχεια, τα εργαλεία απομακρυσμένης διαχείρισης (RAT) αναπτύσσονται για να αποκτήσουν προνομιακή πρόσβαση και να μετακινηθούν πλευρικά εντός του δικτύου προορισμού.

Οι φορείς απειλών χρησιμοποιούν το βοηθητικό πρόγραμμα γραμμής εντολών Sysinternals PsExec της Microsoft για να εκτελέσουν ένα κακόβουλο σενάριο δέσμης. Αυτή η δέσμη ενεργειών ελέγχει την ύπαρξη μιας διαδικασίας με το όνομα "Martini.exe" και την τερματίζει εάν βρεθεί, διασφαλίζοντας ότι μόνο μία παρουσία της διαδικασίας εκτελείται στο μηχάνημα.

Τρόπος μόλυνσης Κασέικα

Το εκτελέσιμο αρχείο "Martini.exe" κατεβάζει και εκτελεί το πρόγραμμα οδήγησης "Martini.sys" από έναν απομακρυσμένο διακομιστή για να απενεργοποιήσει τα εργαλεία ασφαλείας 991. Αξίζει να σημειωθεί ότι το "Martini.sys" είναι ένα νόμιμο υπογεγραμμένο πρόγραμμα οδήγησης που ονομάζεται "viragt64.sys" που η Microsoft έχει προσθέσει στη λίστα αποκλεισμού ευάλωτων προγραμμάτων οδήγησης.

Σε περίπτωση που το "Martini.sys" δεν υπάρχει, το κακόβουλο λογισμικό τερματίζεται από μόνο του, υπογραμμίζοντας τον κρίσιμο ρόλο του οδηγού στην αμυντική αποφυγή. Μετά από αυτό το βήμα, το "Martini.exe" εκκινεί το ωφέλιμο φορτίο ransomware ("smartscreen_protected.exe"), το οποίο χρησιμοποιεί αλγόριθμους ChaCha20 και RSA για κρυπτογράφηση. Αυτό συμβαίνει μετά τον τερματισμό όλων των διεργασιών και υπηρεσιών που έχουν πρόσβαση στο Windows Restart Manager.

Το ransomware αφήνει μια σημείωση σε κάθε κρυπτογραφημένο κατάλογο και αλλάζει την ταπετσαρία του υπολογιστή με αίτημα για πληρωμή 50 bitcoin εντός 72 ωρών. Η μη συμμόρφωση κινδυνεύει με επιπλέον 500.000 $ κάθε 24 ώρες μετά τη λήξη της προθεσμίας. Τα θύματα πρέπει να δημοσιεύσουν ένα στιγμιότυπο οθόνης πληρωμής σε μια ομάδα Telegram που ελέγχεται από ηθοποιούς για να λάβουν έναν αποκρυπτογραφητή.

Το Kasseika ransomware χρησιμοποιεί πρόσθετα μέτρα, όπως η εκκαθάριση των αρχείων καταγραφής συμβάντων του συστήματος χρησιμοποιώντας το δυαδικό αρχείο wevtutil.exe, για να διαγράψει ίχνη της δραστηριότητάς του.