A Kasseika Ransomware fejlett behatolási módszert használ

A Kasseika nevű zsarolóprogram-csoport nemrégiben alkalmazta a Bring Your Own Vulnerable Driver (BYOVD) támadási technikát, hogy letiltja a biztonsággal kapcsolatos folyamatokat a feltört Windows gazdagépeken. Ez más csoportokhoz igazítja, mint például az Akira, AvosLocker, BlackByte és RobbinHood.

A Trend Micro keddi elemzése szerint ez a megközelítés lehetővé teszi a fenyegetések szereplői számára, hogy leállítsák az antivírus folyamatokat és szolgáltatásokat, megkönnyítve a zsarolóvírusok telepítését. A kiberbiztonsági cég által 2023. december közepén felfedezett Kasseika hasonlóságot mutat a már megszűnt BlackMatterrel, amely a DarkSide leállása után jelent meg.

Kasseikáról úgy gondolják, hogy kapcsolatban áll a BlackMatterrel

A jelek szerint Kasseika egy tapasztalt fenyegetés-szereplő munkája lehet, aki hozzáfért a BlackMatterhez, mivel az utóbbi forráskódja 2021 novembere óta nem szivárog ki nyilvánosan.

A Kasseika által kezdeményezett támadási folyamat jellemzően egy adathalász e-maillel kezdődik a kezdeti hozzáférés érdekében. Ezt követően távoli adminisztrációs eszközöket (RAT) telepítenek, hogy kiváltságos hozzáférést kapjanak, és oldalirányban mozogjanak a célhálózaton belül.

A fenyegetés szereplői a Microsoft Sysinternals PsExec parancssori segédprogramját használják egy rosszindulatú kötegelt parancsfájl végrehajtására. Ez a parancsfájl ellenőrzi a "Martini.exe" nevű folyamat létezését, és ha megtalálja, leállítja, biztosítva, hogy a folyamatnak csak egy példánya futhasson a gépen.

A Kasseika fertőzés módja

A "Martini.exe" végrehajtható fájl letölti és futtatja a "Martini.sys" illesztőprogramot egy távoli kiszolgálóról a 991 biztonsági eszközök letiltásához. Figyelemre méltó, hogy a "Martini.sys" egy "viragt64.sys" nevű, aláírt illesztőprogram, amelyet a Microsoft felvett a sebezhető illesztőprogramok tiltólistájára.

Ha a "Martini.sys" nincs jelen, a rosszindulatú program leállítja magát, hangsúlyozva a meghajtó kulcsfontosságú szerepét a védelmi kijátszásban. Ezt a lépést követően a "Martini.exe" elindítja a ransomware-t ("smartscreen_protected.exe"), amely ChaCha20 és RSA algoritmusokat használ a titkosításhoz. Ez a Windows Restart Managert elérő összes folyamat és szolgáltatás leállítása után következik be.

A zsarolóprogram minden titkosított könyvtárban jegyzetet hagy, és megváltoztatja a számítógép háttérképét, és 72 órán belül 50 bitcoin kifizetést kér. A szabályok be nem tartása további 500 000 USD kockázattal jár 24 óránként a határidő lejárta után. Az áldozatoknak fizetési képernyőképet kell közzétenniük egy színész által irányított Telegram-csoportnak, hogy megkapják a visszafejtőt.

A Kasseika ransomware további intézkedéseket alkalmaz, például törli a rendszer eseménynaplóit a wevtutil.exe bináris használatával, hogy törölje tevékenységének nyomait.

January 25, 2024
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.