Kasseika勒索软件采用先进的渗透方法
名为 Kasseika 的勒索软件组织最近采用了自带漏洞驱动程序 (BYOVD) 攻击技术来禁用受感染 Windows 主机上的安全相关进程。这使其与 Akira、AvosLocker、BlackByte 和 RobbinHood 等其他组织保持一致。
根据趋势科技周二的分析,这种方法使威胁行为者能够终止防病毒进程和服务,从而促进勒索软件的部署。 Kasseika 于 2023 年 12 月中旬被网络安全公司发现,与现已解散的 BlackMatter 有相似之处,后者是在 DarkSide 关闭后出现的。
卡塞卡被认为与 BlackMatter 有联系
有迹象表明,Kasseika 可能是一位经验丰富的威胁行为者所为,他获得了 BlackMatter 的访问权限,因为后者的源代码自 2021 年 11 月消亡以来一直没有公开泄露。
Kasseika 发起的攻击过程通常以用于初始访问的网络钓鱼电子邮件开始。随后,部署远程管理工具(RAT)以获得特权访问并在目标网络内横向移动。
威胁行为者使用 Microsoft 的 Sysinternals PsExec 命令行实用程序来执行恶意批处理脚本。该脚本检查是否存在名为“Martini.exe”的进程,如果找到则终止该进程,确保计算机上仅运行该进程的一个实例。
卡西卡感染方式
“Martini.exe”可执行文件从远程服务器下载并运行“Martini.sys”驱动程序以禁用 991 安全工具。值得注意的是,“Martini.sys”是一个名为“viragt64.sys”的合法签名驱动程序,微软已将其添加到其易受攻击的驱动程序阻止列表中。
如果“Martini.sys”不存在,恶意软件就会自行终止,这凸显了驱动程序在防御规避中的关键作用。在此步骤之后,“Martini.exe”将启动勒索软件负载(“smartscreen_protected.exe”),该负载使用 ChaCha20 和 RSA 算法进行加密。终止访问 Windows 重新启动管理器的所有进程和服务后会发生这种情况。
该勒索软件会在每个加密目录中留下一条注释,并更改计算机的壁纸,要求在 72 小时内支付 50 比特币。如果不遵守规定,截止日期后每 24 小时将面临 500,000 美元的额外损失。受害者需要将付款屏幕截图发布到攻击者控制的 Telegram 群组才能接收解密器。
Kasseika 勒索软件采用其他措施,例如使用 wevtutil.exe 二进制文件清除系统的事件日志,以清除其活动痕迹。