„Kasseika Ransomware“ naudoja išplėstinį įsiskverbimo metodą
Išpirkos reikalaujančių programų grupė, pavadinta „Kasseika“, neseniai panaudojo „Bring Your Own Vulnerable Driver“ (BYOVD) atakos techniką, kad išjungtų su sauga susijusius procesus pažeistuose „Windows“ pagrindiniuose kompiuteriuose. Tai suderinama su kitomis grupėmis, tokiomis kaip Akira, AvosLocker, BlackByte ir RobbinHood.
Remiantis antradienį „Trend Micro“ atlikta analize, šis metodas leidžia grėsmės subjektams nutraukti antivirusinius procesus ir paslaugas, taip palengvinant išpirkos reikalaujančių programų diegimą. 2023 m. gruodžio viduryje kibernetinio saugumo įmonė aptikta Kasseika turi panašumų su dabar nebeegzistuojančia BlackMatter, kuri atsirado po „DarkSide“ uždarymo.
Manoma, kad Kasseika turi sąsajų su BlackMatter
Yra požymių, kad „Kasseika“ gali būti patyrusio grėsmių veikėjo, gavusio prieigą prie „BlackMatter“, darbas, nes pastarojo šaltinio kodas nebuvo viešai nutekėjęs nuo jo žlugimo 2021 m. lapkritį.
Kasseikos inicijuotas atakos procesas paprastai prasideda nuo sukčiavimo el. laiško, skirto pradinei prieigai. Vėliau diegiami nuotolinio administravimo įrankiai (RAT), kad gautų privilegijuotą prieigą ir judėtų į šoną tiksliniame tinkle.
Grėsmės veikėjai naudoja Microsoft Sysinternals PsExec komandų eilutės įrankį, kad vykdytų kenkėjišką paketinį scenarijų. Šis scenarijus tikrina, ar nėra proceso, pavadinto „Martini.exe“, ir nutraukia jį, jei randama, užtikrinant, kad įrenginyje būtų vykdomas tik vienas proceso egzempliorius.
Kasseikos infekcijos būdas
„Martini.exe“ vykdomasis failas atsisiunčia ir paleidžia „Martini.sys“ tvarkyklę iš nuotolinio serverio, kad išjungtų 991 saugos įrankius. Pažymėtina, kad „Martini.sys“ yra teisėta pasirašyta tvarkyklė, pavadinta „viragt64.sys“, kurią „Microsoft“ įtraukė į savo pažeidžiamų tvarkyklių blokavimo sąrašą.
Jei „Martini.sys“ nėra, kenkėjiška programa pati baigiasi, o tai pabrėžia lemiamą vairuotojo vaidmenį vengiant gynybos. Atlikus šį veiksmą, „Martini.exe“ inicijuoja išpirkos reikalaujančių programų naudingąją apkrovą („smartscreen_protected.exe“), kuri šifravimui naudoja ChaCha20 ir RSA algoritmus. Tai įvyksta nutraukus visus procesus ir paslaugas, pasiekiančias „Windows Restart Manager“.
Išpirkos reikalaujanti programa palieka užrašą kiekviename užšifruotame kataloge ir pakeičia kompiuterio ekrano užsklandą su reikalavimu per 72 valandas sumokėti 50 bitkoinų. Jei nesilaikysite reikalavimų, kyla papildomų 500 000 USD kas 24 valandų po termino pabaigos. Aukos turi paskelbti mokėjimo ekrano kopiją aktoriaus valdomai „Telegram“ grupei, kad gautų iššifravimo priemonę.
„Kasseika“ išpirkos reikalaujančios programos taiko papildomas priemones, pavyzdžiui, išvalo sistemos įvykių žurnalus naudojant dvejetainį failą wevtutil.exe, kad ištrintų savo veiklos pėdsakus.