Kasseika Ransomware wykorzystuje zaawansowaną metodę infiltracji

Grupa oprogramowania ransomware o nazwie Kasseika przyjęła niedawno technikę ataku Bring Your Own Vulnerable Driver (BYOVD), aby wyłączyć procesy związane z bezpieczeństwem na zainfekowanych hostach z systemem Windows. To dopasowuje go do innych grup, takich jak Akira, AvosLocker, BlackByte i RobbinHood.

Jak wynika z wtorkowej analizy przeprowadzonej przez Trend Micro, takie podejście umożliwia cyberprzestępcom zakończenie procesów i usług antywirusowych, ułatwiając wdrażanie oprogramowania ransomware. Odkryta przez firmę zajmującą się cyberbezpieczeństwem w połowie grudnia 2023 r. Kasseika jest podobna do nieistniejącego już BlackMatter, który pojawił się po zamknięciu DarkSide.

Uważa się, że Kasseika ma powiązania z BlackMatter

Wiele wskazuje na to, że Kasseika może być dziełem doświadczonego ugrupowania cyberprzestępczego, który uzyskał dostęp do BlackMatter, ponieważ kod źródłowy tego ostatniego nie wyciekł do wiadomości publicznej od czasu jego upadku w listopadzie 2021 r.

Proces ataku inicjowany przez Kasseikę zazwyczaj rozpoczyna się od wiadomości e-mail typu phishing w celu uzyskania pierwszego dostępu. Następnie wdrażane są narzędzia administracji zdalnej (RAT), aby uzyskać uprzywilejowany dostęp i przemieszczać się w obrębie sieci docelowej.

Podmioty zagrażające wykorzystują narzędzie wiersza poleceń Sysinternals PsExec firmy Microsoft do wykonania złośliwego skryptu wsadowego. Skrypt ten sprawdza, czy istnieje proces o nazwie „Martini.exe” i kończy go, jeśli zostanie znaleziony, zapewniając, że na komputerze działa tylko jedna instancja procesu.

Sposób zakażenia Kasseika

Plik wykonywalny „Martini.exe” pobiera i uruchamia sterownik „Martini.sys” ze zdalnego serwera, aby wyłączyć narzędzia bezpieczeństwa 991. Warto zauważyć, że „Martini.sys” to legalny podpisany sterownik o nazwie „viragt64.sys”, który Microsoft dodał do swojej listy blokowanych sterowników podatnych na ataki.

W przypadku braku pliku „Martini.sys” szkodliwe oprogramowanie ulega samoczynnemu zakończeniu, co podkreśla kluczową rolę sterownika w obchodzeniu zabezpieczeń. Po tym kroku „Martini.exe” inicjuje ładunek ransomware („smartscreen_protected.exe”), który do szyfrowania wykorzystuje algorytmy ChaCha20 i RSA. Dzieje się tak po zakończeniu wszystkich procesów i usług uzyskujących dostęp do Menedżera ponownego uruchamiania systemu Windows.

Ransomware pozostawia notatkę w każdym zaszyfrowanym katalogu i zmienia tapetę komputera, żądając zapłaty 50 bitcoinów w ciągu 72 godzin. Nieprzestrzeganie grozi dodatkowymi 500 000 dolarów co 24 godziny po terminie. Ofiary muszą opublikować zrzut ekranu płatności w kontrolowanej przez aktora grupie na Telegramie, aby otrzymać narzędzie odszyfrowujące.

Ransomware Kasseika wykorzystuje dodatkowe środki, takie jak czyszczenie dzienników zdarzeń systemu za pomocą pliku binarnego wevtutil.exe, aby usunąć ślady swojej aktywności.