Программа-вымогатель Kasseika использует усовершенствованный метод проникновения
Группа вымогателей под названием Kasseika недавно применила технику атаки «Принеси свой собственный уязвимый драйвер» (BYOVD) для отключения процессов, связанных с безопасностью, на скомпрометированных хостах Windows. Это объединяет его с другими группами, такими как Akira, AvosLocker, BlackByte и RobbinHood.
Согласно анализу Trend Micro, проведенному во вторник, этот подход позволяет злоумышленникам завершать антивирусные процессы и службы, облегчая развертывание программ-вымогателей. Обнаруженная фирмой по кибербезопасности в середине декабря 2023 года, Kasseika имеет сходство с ныне несуществующей BlackMatter, возникшей после закрытия DarkSide.
Предполагается, что Кассейка связан с BlackMatter
Есть признаки того, что Kasseika может быть работой опытного злоумышленника, получившего доступ к BlackMatter, поскольку исходный код последнего не разглашался публично с момента его закрытия в ноябре 2021 года.
Процесс атаки, инициированный Кассейкой, обычно начинается с фишингового электронного письма для первоначального доступа. Впоследствии развертываются инструменты удаленного администрирования (RAT) для получения привилегированного доступа и горизонтального перемещения внутри целевой сети.
Злоумышленники используют утилиту командной строки Sysinternals PsExec от Microsoft для выполнения вредоносного пакетного сценария. Этот сценарий проверяет существование процесса с именем «Martini.exe» и завершает его, если он найден, гарантируя, что на компьютере запускается только один экземпляр процесса.
Способ заражения Кассейки
Исполняемый файл «Martini.exe» загружает и запускает драйвер «Martini.sys» с удаленного сервера, чтобы отключить 991 инструмент безопасности. Примечательно, что «Martini.sys» — это законный подписанный драйвер с именем «viragt64.sys», который Microsoft добавила в свой черный список уязвимых драйверов.
В случае отсутствия «Martini.sys» вредоносная программа завершает работу сама, подчеркивая решающую роль драйвера в обходе защиты. После этого шага «Martini.exe» инициирует полезную нагрузку программы-вымогателя («smartscreen_protected.exe»), которая использует для шифрования алгоритмы ChaCha20 и RSA. Это происходит после завершения всех процессов и служб, имеющих доступ к диспетчеру перезапуска Windows.
Программа-вымогатель оставляет заметку в каждом зашифрованном каталоге и меняет обои компьютера с требованием оплаты в размере 50 биткойнов в течение 72 часов. Несоблюдение этого требования грозит дополнительными 500 000 долларов США каждые 24 часа после истечения срока. Жертвы должны опубликовать скриншот платежа в группе Telegram, контролируемой актерами, чтобы получить расшифровщик.
Программа-вымогатель Kasseika использует дополнительные меры, такие как очистка журналов событий системы с помощью двоичного файла wevtutil.exe, чтобы стереть следы своей активности.