Kasseika Ransomware maakt gebruik van geavanceerde infiltratiemethode

De ransomwaregroep genaamd Kasseika heeft onlangs de aanvalstechniek Bring Your Own Vulnerable Driver (BYOVD) overgenomen om beveiligingsgerelateerde processen op gecompromitteerde Windows-hosts uit te schakelen. Dit brengt het in lijn met andere groepen zoals Akira, AvosLocker, BlackByte en RobbinHood.

Deze aanpak stelt bedreigingsactoren in staat antivirusprocessen en -diensten te beëindigen, waardoor de inzet van ransomware wordt vergemakkelijkt, blijkt uit een analyse van Trend Micro op dinsdag. Kasseika werd medio december 2023 ontdekt door het cyberbeveiligingsbedrijf en vertoont overeenkomsten met het inmiddels ter ziele gegane BlackMatter, dat ontstond na de sluiting van DarkSide.

Kasseika zou banden hebben met BlackMatter

Er zijn aanwijzingen dat Kasseika mogelijk het werk is van een ervaren dreigingsacteur die toegang heeft gekregen tot BlackMatter, aangezien de broncode van laatstgenoemde sinds de ondergang ervan in november 2021 niet publiekelijk is gelekt.

Het aanvalsproces dat door Kasseika wordt geïnitieerd, begint doorgaans met een phishing-e-mail voor eerste toegang. Vervolgens worden tools voor extern beheer (RAT's) ingezet om geprivilegieerde toegang te verkrijgen en zich lateraal binnen het doelnetwerk te verplaatsen.

De bedreigingsactoren gebruiken het opdrachtregelprogramma Sysinternals PsExec van Microsoft om een kwaadaardig batchscript uit te voeren. Dit script controleert op het bestaan van een proces met de naam "Martini.exe" en beëindigt dit indien gevonden, zodat slechts één exemplaar van het proces op de machine wordt uitgevoerd.

Wijze van infectie van Kasseika

Het uitvoerbare bestand "Martini.exe" downloadt en voert het stuurprogramma "Martini.sys" uit vanaf een externe server om 991-beveiligingstools uit te schakelen. Het is opmerkelijk dat "Martini.sys" een legitiem ondertekend stuurprogramma is met de naam "viragt64.sys" dat Microsoft heeft toegevoegd aan de blokkeerlijst voor kwetsbare stuurprogramma's.

Als "Martini.sys" niet aanwezig is, beëindigt de malware zichzelf, wat de cruciale rol van het stuurprogramma bij het ontwijken van verdediging onderstreept. Na deze stap initieert "Martini.exe" de ransomware-payload ("smartscreen_protected.exe"), die ChaCha20- en RSA-algoritmen gebruikt voor codering. Dit gebeurt nadat alle processen en services zijn beëindigd die toegang hebben tot Windows Restart Manager.

De ransomware laat een notitie achter in elke gecodeerde map en verandert de achtergrond van de computer met de vraag om binnen 72 uur een betaling van 50 bitcoins te doen. Als u zich niet hieraan houdt, riskeert u elke 24 uur na de deadline nog eens $ 500.000 extra. Slachtoffers moeten een betalingsscreenshot naar een door een acteur gecontroleerde Telegram-groep plaatsen om een decryptor te ontvangen.

De Kasseika-ransomware maakt gebruik van aanvullende maatregelen, zoals het wissen van de gebeurtenislogboeken van het systeem met behulp van het binaire bestand wevtutil.exe, om sporen van zijn activiteit te wissen.