A Kasseika Ransomware fejlett behatolási módszert használ

A Kasseika nevű zsarolóprogram-csoport nemrégiben alkalmazta a Bring Your Own Vulnerable Driver (BYOVD) támadási technikát, hogy letiltja a biztonsággal kapcsolatos folyamatokat a feltört Windows gazdagépeken. Ez más csoportokhoz igazítja, mint például az Akira, AvosLocker, BlackByte és RobbinHood.

A Trend Micro keddi elemzése szerint ez a megközelítés lehetővé teszi a fenyegetések szereplői számára, hogy leállítsák az antivírus folyamatokat és szolgáltatásokat, megkönnyítve a zsarolóvírusok telepítését. A kiberbiztonsági cég által 2023. december közepén felfedezett Kasseika hasonlóságot mutat a már megszűnt BlackMatterrel, amely a DarkSide leállása után jelent meg.

Kasseikáról úgy gondolják, hogy kapcsolatban áll a BlackMatterrel

A jelek szerint Kasseika egy tapasztalt fenyegetés-szereplő munkája lehet, aki hozzáfért a BlackMatterhez, mivel az utóbbi forráskódja 2021 novembere óta nem szivárog ki nyilvánosan.

A Kasseika által kezdeményezett támadási folyamat jellemzően egy adathalász e-maillel kezdődik a kezdeti hozzáférés érdekében. Ezt követően távoli adminisztrációs eszközöket (RAT) telepítenek, hogy kiváltságos hozzáférést kapjanak, és oldalirányban mozogjanak a célhálózaton belül.

A fenyegetés szereplői a Microsoft Sysinternals PsExec parancssori segédprogramját használják egy rosszindulatú kötegelt parancsfájl végrehajtására. Ez a parancsfájl ellenőrzi a "Martini.exe" nevű folyamat létezését, és ha megtalálja, leállítja, biztosítva, hogy a folyamatnak csak egy példánya futhasson a gépen.

A Kasseika fertőzés módja

A "Martini.exe" végrehajtható fájl letölti és futtatja a "Martini.sys" illesztőprogramot egy távoli kiszolgálóról a 991 biztonsági eszközök letiltásához. Figyelemre méltó, hogy a "Martini.sys" egy "viragt64.sys" nevű, aláírt illesztőprogram, amelyet a Microsoft felvett a sebezhető illesztőprogramok tiltólistájára.

Ha a "Martini.sys" nincs jelen, a rosszindulatú program leállítja magát, hangsúlyozva a meghajtó kulcsfontosságú szerepét a védelmi kijátszásban. Ezt a lépést követően a "Martini.exe" elindítja a ransomware-t ("smartscreen_protected.exe"), amely ChaCha20 és RSA algoritmusokat használ a titkosításhoz. Ez a Windows Restart Managert elérő összes folyamat és szolgáltatás leállítása után következik be.

A zsarolóprogram minden titkosított könyvtárban jegyzetet hagy, és megváltoztatja a számítógép háttérképét, és 72 órán belül 50 bitcoin kifizetést kér. A szabályok be nem tartása további 500 000 USD kockázattal jár 24 óránként a határidő lejárta után. Az áldozatoknak fizetési képernyőképet kell közzétenniük egy színész által irányított Telegram-csoportnak, hogy megkapják a visszafejtőt.

A Kasseika ransomware további intézkedéseket alkalmaz, például törli a rendszer eseménynaplóit a wevtutil.exe bináris használatával, hogy törölje tevékenységének nyomait.