Kasseika ランサムウェアは高度な侵入手法を使用

Kasseika という名前のランサムウェア グループは最近、Bring Your Own Vulnerable Driver (BYOVD) 攻撃手法を採用し、侵害された Windows ホスト上のセキュリティ関連プロセスを無効にしました。これは、Akira、AvosLocker、BlackByte、RobbinHood などの他のグループと一致します。

トレンドマイクロが火曜日に発表した分析によると、このアプローチにより、攻撃者はウイルス対策プロセスとサービスを終了させ、ランサムウェアの展開を容易にすることができます。 2023 年 12 月中旬にサイバーセキュリティ会社によって発見された Kasseika は、DarkSide の閉鎖後に出現した、現在は消滅している BlackMatter と類似点を共有しています。

カセイカはブラックマターとの関連があると考えられている

Kasseika は、BlackMatter のソース コードが 2021 年 11 月に消滅して以来公に漏洩していないため、BlackMatter にアクセスした経験豊富な攻撃者の仕業である可能性があるという兆候があります。

Kasseika によって開始される攻撃プロセスは通常、最初のアクセスのためのフィッシングメールから始まります。その後、リモート管理ツール (RAT) が展開され、特権アクセスを取得し、ターゲット ネットワーク内を横方向に移動します。

攻撃者は、Microsoft の Sysinternals PsExec コマンドライン ユーティリティを使用して、悪意のあるバッチ スクリプトを実行します。このスクリプトは、「Martini.exe」という名前のプロセスの存在を確認し、見つかった場合は終了し、マシン上でプロセスのインスタンスが 1 つだけ実行されるようにします。

カセイカの感染経路

「Martini.exe」実行可能ファイルは、リモート サーバーから「Martini.sys」ドライバをダウンロードして実行し、991 セキュリティ ツールを無効にします。 「Martini.sys」は、Microsoft が脆弱なドライバーのブロックリストに追加した「viragt64.sys」という名前の正規の署名付きドライバーであることは注目に値します。

「Martini.sys」が存在しない場合、マルウェアは自動的に終了し、防御回避におけるドライバーの重要な役割が強調されます。この手順に続いて、「Martini.exe」は、暗号化に ChaCha20 および RSA アルゴリズムを使用するランサムウェア ペイロード (「smartscreen_protected.exe」) を開始します。これは、Windows 再起動マネージャーにアクセスするすべてのプロセスとサービスを終了した後に発生します。

このランサムウェアは、暗号化されたすべてのディレクトリにメモを残し、コンピュータの壁紙を変更して、72 時間以内に 50 ビットコインの支払いを要求します。遵守しない場合は、期限後 24 時間ごとに追加で 50 万ドルが支払われるリスクがあります。被害者は、復号プログラムを受け取るために、攻撃者が管理する Telegram グループに支払いのスクリーンショットを投稿する必要があります。

Kasseika ランサムウェアは、活動の痕跡を消去するために、wevtutil.exe バイナリを使用してシステムのイベント ログをクリアするなど、追加の手段を採用しています。

Zaib
January 25, 2024
Computer Security, Ransomware
日本語
January 25, 2024
Computer Security, Ransomware

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

5 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。