Kasseika勒索软件采用先进的渗透方法

名为 Kasseika 的勒索软件组织最近采用了自带漏洞驱动程序 (BYOVD) 攻击技术来禁用受感染 Windows 主机上的安全相关进程。这使其与 Akira、AvosLocker、BlackByte 和 RobbinHood 等其他组织保持一致。

根据趋势科技周二的分析，这种方法使威胁行为者能够终止防病毒进程和服务，从而促进勒索软件的部署。 Kasseika 于 2023 年 12 月中旬被网络安全公司发现，与现已解散的 BlackMatter 有相似之处，后者是在 DarkSide 关闭后出现的。

卡塞卡被认为与 BlackMatter 有联系

有迹象表明，Kasseika 可能是一位经验丰富的威胁行为者所为，他获得了 BlackMatter 的访问权限，因为后者的源代码自 2021 年 11 月消亡以来一直没有公开泄露。

Kasseika 发起的攻击过程通常以用于初始访问的网络钓鱼电子邮件开始。随后，部署远程管理工具（RAT）以获得特权访问并在目标网络内横向移动。

威胁行为者使用 Microsoft 的 Sysinternals PsExec 命令行实用程序来执行恶意批处理脚本。该脚本检查是否存在名为“Martini.exe”的进程，如果找到则终止该进程，确保计算机上仅运行该进程的一个实例。

卡西卡感染方式

“Martini.exe”可执行文件从远程服务器下载并运行“Martini.sys”驱动程序以禁用 991 安全工具。值得注意的是，“Martini.sys”是一个名为“viragt64.sys”的合法签名驱动程序，微软已将其添加到其易受攻击的驱动程序阻止列表中。

如果“Martini.sys”不存在，恶意软件就会自行终止，这凸显了驱动程序在防御规避中的关键作用。在此步骤之后，“Martini.exe”将启动勒索软件负载（“smartscreen_protected.exe”），该负载使用 ChaCha20 和 RSA 算法进行加密。终止访问 Windows 重新启动管理器的所有进程和服务后会发生这种情况。

该勒索软件会在每个加密目录中留下一条注释，并更改计算机的壁纸，要求在 72 小时内支付 50 比特币。如果不遵守规定，截止日期后每 24 小时将面临 500,000 美元的额外损失。受害者需要将付款屏幕截图发布到攻击者控制的 Telegram 群组才能接收解密器。

Kasseika 勒索软件采用其他措施，例如使用 wevtutil.exe 二进制文件清除系统的事件日志，以清除其活动痕迹。