Kasseika勒索軟體採用先進的滲透方法

名為 Kasseika 的勒索軟體組織最近採用了自帶漏洞驅動程式 (BYOVD) 攻擊技術來停用受感染 Windows 主機上的安全相關進程。這使其與 Akira、AvosLocker、BlackByte 和 RobbinHood 等其他組織保持一致。

根據趨勢科技週二的分析，這種方法使威脅行為者能夠終止防毒進程和服務，從而促進勒索軟體的部署。 Kasseika 於 2023 年 12 月中旬被網路安全公司發現，與現已解散的 BlackMatter 有相似之處，後者是在 DarkSide 關閉後出現的。

卡塞卡被認為與 BlackMatter 有聯繫

有跡象表明，Kasseika 可能是一位經驗豐富的威脅行為者所為，他獲得了 BlackMatter 的訪問權限，因為後者的源代碼自 2021 年 11 月消亡以來一直沒有公開洩露。

Kasseika 發起的攻擊過程通常以用於初始存取的網路釣魚電子郵件開始。隨後，部署遠端管理工具（RAT）以獲得特權存取並在目標網路內橫向移動。

威脅行為者使用 Microsoft 的 Sysinternals PsExec 命令列公用程式來執行惡意批次腳本。該腳本檢查是否存在名為「Martini.exe」的進程，如果找到則終止該進程，確保電腦上僅執行該進程的一個實例。

卡西卡感染方式

“Martini.exe”可執行檔從遠端伺服器下載並執行“Martini.sys”驅動程式以停用 991 安全工具。值得注意的是，「Martini.sys」是一個名為「viragt64.sys」的合法簽章驅動程序，微軟已將其新增至其易受攻擊的驅動程式封鎖清單中。

如果「Martini.sys」不存在，惡意軟體就會自行終止，這凸顯了驅動程式在防禦規避中的關鍵作用。在此步驟之後，「Martini.exe」將啟動勒索軟體負載（「smartscreen_protected.exe」），該負載使用 ChaCha20 和 RSA 演算法進行加密。終止存取 Windows 重新啟動管理員的所有進程和服務後會發生這種情況。

該勒索軟體會在每個加密目錄中留下一條註釋，並更改電腦的壁紙，要求在 72 小時內支付 50 比特幣。如果不遵守規定，截止日期後每 24 小時將面臨 50 萬美元的額外損失。受害者需要將付款螢幕截圖發佈到攻擊者控制的 Telegram 群組才能接收解密器。

Kasseika 勒索軟體採用其他措施，例如使用 wevtutil.exe 二進位檔案清除系統的事件日誌，以清除其活動痕跡。