Kasseika ランサムウェアは高度な侵入手法を使用
Kasseika という名前のランサムウェア グループは最近、Bring Your Own Vulnerable Driver (BYOVD) 攻撃手法を採用し、侵害された Windows ホスト上のセキュリティ関連プロセスを無効にしました。これは、Akira、AvosLocker、BlackByte、RobbinHood などの他のグループと一致します。
トレンドマイクロが火曜日に発表した分析によると、このアプローチにより、攻撃者はウイルス対策プロセスとサービスを終了させ、ランサムウェアの展開を容易にすることができます。 2023 年 12 月中旬にサイバーセキュリティ会社によって発見された Kasseika は、DarkSide の閉鎖後に出現した、現在は消滅している BlackMatter と類似点を共有しています。
カセイカはブラックマターとの関連があると考えられている
Kasseika は、BlackMatter のソース コードが 2021 年 11 月に消滅して以来公に漏洩していないため、BlackMatter にアクセスした経験豊富な攻撃者の仕業である可能性があるという兆候があります。
Kasseika によって開始される攻撃プロセスは通常、最初のアクセスのためのフィッシングメールから始まります。その後、リモート管理ツール (RAT) が展開され、特権アクセスを取得し、ターゲット ネットワーク内を横方向に移動します。
攻撃者は、Microsoft の Sysinternals PsExec コマンドライン ユーティリティを使用して、悪意のあるバッチ スクリプトを実行します。このスクリプトは、「Martini.exe」という名前のプロセスの存在を確認し、見つかった場合は終了し、マシン上でプロセスのインスタンスが 1 つだけ実行されるようにします。
カセイカの感染経路
「Martini.exe」実行可能ファイルは、リモート サーバーから「Martini.sys」ドライバをダウンロードして実行し、991 セキュリティ ツールを無効にします。 「Martini.sys」は、Microsoft が脆弱なドライバーのブロックリストに追加した「viragt64.sys」という名前の正規の署名付きドライバーであることは注目に値します。
「Martini.sys」が存在しない場合、マルウェアは自動的に終了し、防御回避におけるドライバーの重要な役割が強調されます。この手順に続いて、「Martini.exe」は、暗号化に ChaCha20 および RSA アルゴリズムを使用するランサムウェア ペイロード (「smartscreen_protected.exe」) を開始します。これは、Windows 再起動マネージャーにアクセスするすべてのプロセスとサービスを終了した後に発生します。
このランサムウェアは、暗号化されたすべてのディレクトリにメモを残し、コンピュータの壁紙を変更して、72 時間以内に 50 ビットコインの支払いを要求します。遵守しない場合は、期限後 24 時間ごとに追加で 50 万ドルが支払われるリスクがあります。被害者は、復号プログラムを受け取るために、攻撃者が管理する Telegram グループに支払いのスクリーンショットを投稿する必要があります。
Kasseika ランサムウェアは、活動の痕跡を消去するために、wevtutil.exe バイナリを使用してシステムのイベント ログをクリアするなど、追加の手段を採用しています。