Kasseika Ransomware bruker avansert infiltrasjonsmetode
Ransomware-gruppen ved navn Kasseika har nylig tatt i bruk angrepsteknikken Bring Your Own Vulnerable Driver (BYOVD) for å deaktivere sikkerhetsrelaterte prosesser på kompromitterte Windows-verter. Dette justerer den med andre grupper som Akira, AvosLocker, BlackByte og RobbinHood.
Denne tilnærmingen gjør det mulig for trusselaktører å avslutte antivirusprosesser og -tjenester, noe som letter distribusjonen av løsepengevare, ifølge en analyse fra Trend Micro tirsdag. Oppdaget av cybersikkerhetsfirmaet i midten av desember 2023, deler Kasseika likheter med den nå nedlagte BlackMatter, som dukket opp etter nedleggelsen av DarkSide.
Kasseika antas å ha koblinger til BlackMatter
Det er indikasjoner på at Kasseika kan være arbeidet til en erfaren trusselaktør som fikk tilgang til BlackMatter, siden sistnevntes kildekode ikke har blitt lekket offentlig siden dens bortgang i november 2021.
Angrepsprosessen initiert av Kasseika begynner vanligvis med en phishing-e-post for førstegangstilgang. Deretter blir fjernadministrasjonsverktøy (RAT) distribuert for å få privilegert tilgang og bevege seg sideveis innenfor målnettverket.
Trusselaktørene bruker Microsofts Sysinternals PsExec-kommandolinjeverktøy for å kjøre et ondsinnet batchskript. Dette skriptet sjekker om det finnes en prosess kalt "Martini.exe" og avslutter den hvis den blir funnet, og sikrer at bare én forekomst av prosessen kjører på maskinen.
Infeksjonsmåte av Kasseika
Den kjørbare "Martini.exe" laster ned og kjører "Martini.sys"-driveren fra en ekstern server for å deaktivere 991 sikkerhetsverktøy. Det er bemerkelsesverdig at "Martini.sys" er en legitim signert driver kalt "viragt64.sys" som Microsoft har lagt til sin sårbare driverblokkeringsliste.
I tilfelle "Martini.sys" ikke er tilstede, avslutter skadelig programvare av seg selv, noe som understreker sjåførens avgjørende rolle i forsvarsunndragelse. Etter dette trinnet starter "Martini.exe" løsepengelasten ("smartscreen_protected.exe"), som bruker ChaCha20 og RSA-algoritmer for kryptering. Dette skjer etter at alle prosesser og tjenester som har tilgang til Windows Restart Manager er avsluttet.
Løsepengevaren legger igjen en lapp i hver kryptert katalog og endrer datamaskinens bakgrunn med et krav om en 50-bitcoin-betaling innen 72 timer. Manglende overholdelse risikerer ytterligere $500 000 hver 24. time etter fristen. Ofre må legge ut et betalingsskjermbilde til en skuespillerkontrollert Telegram-gruppe for å motta en dekryptering.
Kasseika løsepengeprogramvare bruker ytterligere tiltak, for eksempel å slette systemets hendelseslogger ved å bruke binærfilen wevtutil.exe, for å slette spor etter aktiviteten.
