Kasseika Ransomware använder avancerad infiltrationsmetod
Ransomware-gruppen vid namn Kasseika har nyligen antagit attacktekniken Bring Your Own Vulnerable Driver (BYOVD) för att inaktivera säkerhetsrelaterade processer på komprometterade Windows-värdar. Detta anpassar det till andra grupper som Akira, AvosLocker, BlackByte och RobbinHood.
Detta tillvägagångssätt gör det möjligt för hotaktörer att avsluta antivirusprocesser och -tjänster, vilket underlättar distributionen av ransomware, enligt en analys av Trend Micro på tisdagen. Upptäckt av cybersäkerhetsföretaget i mitten av december 2023, Kasseika delar likheter med det nu nedlagda BlackMatter, som uppstod efter avstängningen av DarkSide.
Kasseika antas ha länkar till BlackMatter
Det finns indikationer på att Kasseika kan vara ett verk av en erfaren hotaktör som fick tillgång till BlackMatter, eftersom den senares källkod inte har läckt ut offentligt sedan dess bortgång i november 2021.
Attackprocessen som initieras av Kasseika börjar vanligtvis med ett nätfiskemeddelande för första åtkomst. Därefter distribueras verktyg för fjärradministration (RAT) för att få privilegierad åtkomst och flytta i sidled inom målnätverket.
Hotaktörerna använder Microsofts kommandoradsverktyg Sysinternals PsExec för att köra ett skadligt batchskript. Detta skript kontrollerar om det finns en process som heter "Martini.exe" och avslutar den om den hittas, vilket säkerställer att endast en instans av processen körs på maskinen.
Infektionssätt av Kasseika
Den körbara "Martini.exe" laddar ner och kör drivrutinen "Martini.sys" från en fjärrserver för att inaktivera 991 säkerhetsverktyg. Det är anmärkningsvärt att "Martini.sys" är en legitim signerad drivrutin med namnet "viragt64.sys" som Microsoft har lagt till i sin lista med sårbara drivrutiner.
Om "Martini.sys" inte är närvarande, avslutas skadlig programvara av sig själv, vilket understryker förarens avgörande roll i försvarsflykt. Efter detta steg initierar "Martini.exe" ransomware-nyttolasten ("smartscreen_protected.exe"), som använder ChaCha20 och RSA-algoritmer för kryptering. Detta inträffar efter att alla processer och tjänster som har åtkomst till Windows Restart Manager har avslutats.
Ransomwaren lämnar en anteckning i varje krypterad katalog och ändrar datorns bakgrund med ett krav på en 50-bitcoin-betalning inom 72 timmar. Underlåtenhet att följa efterlevnaden riskerar ytterligare 500 000 USD var 24:e timme efter deadline. Offren måste lägga upp en betalningsskärmdump till en skådespelarekontrollerad Telegram-grupp för att få en dekryptering.
Kasseika ransomware använder ytterligare åtgärder, som att rensa systemets händelseloggar med hjälp av binären wevtutil.exe, för att radera spår av dess aktivitet.