Kasseika勒索軟體採用先進的滲透方法
名為 Kasseika 的勒索軟體組織最近採用了自帶漏洞驅動程式 (BYOVD) 攻擊技術來停用受感染 Windows 主機上的安全相關進程。這使其與 Akira、AvosLocker、BlackByte 和 RobbinHood 等其他組織保持一致。
根據趨勢科技週二的分析,這種方法使威脅行為者能夠終止防毒進程和服務,從而促進勒索軟體的部署。 Kasseika 於 2023 年 12 月中旬被網路安全公司發現,與現已解散的 BlackMatter 有相似之處,後者是在 DarkSide 關閉後出現的。
卡塞卡被認為與 BlackMatter 有聯繫
有跡象表明,Kasseika 可能是一位經驗豐富的威脅行為者所為,他獲得了 BlackMatter 的訪問權限,因為後者的源代碼自 2021 年 11 月消亡以來一直沒有公開洩露。
Kasseika 發起的攻擊過程通常以用於初始存取的網路釣魚電子郵件開始。隨後,部署遠端管理工具(RAT)以獲得特權存取並在目標網路內橫向移動。
威脅行為者使用 Microsoft 的 Sysinternals PsExec 命令列公用程式來執行惡意批次腳本。該腳本檢查是否存在名為「Martini.exe」的進程,如果找到則終止該進程,確保電腦上僅執行該進程的一個實例。
卡西卡感染方式
“Martini.exe”可執行檔從遠端伺服器下載並執行“Martini.sys”驅動程式以停用 991 安全工具。值得注意的是,「Martini.sys」是一個名為「viragt64.sys」的合法簽章驅動程序,微軟已將其新增至其易受攻擊的驅動程式封鎖清單中。
如果「Martini.sys」不存在,惡意軟體就會自行終止,這凸顯了驅動程式在防禦規避中的關鍵作用。在此步驟之後,「Martini.exe」將啟動勒索軟體負載(「smartscreen_protected.exe」),該負載使用 ChaCha20 和 RSA 演算法進行加密。終止存取 Windows 重新啟動管理員的所有進程和服務後會發生這種情況。
該勒索軟體會在每個加密目錄中留下一條註釋,並更改電腦的壁紙,要求在 72 小時內支付 50 比特幣。如果不遵守規定,截止日期後每 24 小時將面臨 50 萬美元的額外損失。受害者需要將付款螢幕截圖發佈到攻擊者控制的 Telegram 群組才能接收解密器。
Kasseika 勒索軟體採用其他措施,例如使用 wevtutil.exe 二進位檔案清除系統的事件日誌,以清除其活動痕跡。