Kasseika-Ransomware
Die Ransomware-Gruppe Kasseika hat kürzlich die Angriffsmethode Bring Your Own Vulnerable Driver (BYOVD) übernommen, um Sicherheitsprozesse auf kompromittierten Windows-Systemen zu neutralisieren. Dieser Ansatz bringt Kasseika in eine Reihe mit anderen Gruppen wie Akira , AvosLocker, BlackByte und RobbinHood , die ebenfalls die BYOVD-Technik nutzen, um Anti-Malware-Prozesse und -Dienste zu deaktivieren und so den Einsatz von Ransomware zu erleichtern.
Kasseika wurde erstmals Mitte Dezember 2023 von Cybersicherheitsexperten identifiziert und weist Ähnlichkeiten mit der inzwischen aufgelösten BlackMatter- Gruppe auf, die nach der Schließung von DarkSide entstand. Es gibt Hinweise darauf, dass die mit Kasseika in Verbindung stehende Ransomware-Variante das Ergebnis eines erfahrenen Bedrohungsakteurs sein könnte, der sich Zugriff auf BlackMatter verschafft oder Vermögenswerte von BlackMatter kauft. Diese Spekulation ergibt sich aus der Tatsache, dass der Quellcode von BlackMatter seit seiner Einstellung im November 2021 nicht mehr öffentlich bekannt gegeben wurde.
Inhaltsverzeichnis
Angriffsvektoren, die zur Infektion von Geräten mit der Kasseika-Ransomware genutzt werden
Die Angriffssequenzen von Kasseika beginnen mit einer Phishing-E-Mail, die für den Erstzugriff konzipiert ist, gefolgt vom Einsatz von Remote Access Tools (RATs), um sich privilegierten Zugang zu verschaffen und seitlich im Zielnetzwerk zu navigieren. Insbesondere wurde beobachtet, dass Bedrohungsakteure im Rahmen dieser Kampagne das Befehlszeilendienstprogramm Sysinternals PsExec von Microsoft nutzten, um unsichere Batch-Skripte auszuführen. Dieses Skript prüft, ob ein Prozess namens „Martini.exe“ vorhanden ist, und beendet ihn, wenn er erkannt wird, um sicherzustellen, dass nur eine einzige Instanz des Prozesses auf dem Computer ausgeführt wird.
Die Hauptaufgabe der ausführbaren Datei „Martini.exe“ besteht darin, den Treiber „Martini.sys“ von einem Remote-Server herunterzuladen und auszuführen. Dieser Treiber ist für die Deaktivierung der 991-Sicherheitstools verantwortlich. Es ist wichtig zu erwähnen, dass es sich bei „Martini.sys“ um einen rechtmäßig signierten Treiber mit dem Namen „viragt64.sys“ handelt, der jedoch in die Sperrliste für anfällige Treiber von Microsoft aufgenommen wurde. Wenn „Martini.sys“ nicht gefunden wird, beendet sich die Malware selbst und verhindert so eine weitere Ausführung.
Im Anschluss an diese Phase initiiert „Martini.exe“ die Ausführung der Ransomware-Nutzlast „smartscreen_protected.exe“, die für den Verschlüsselungsprozess mithilfe von ChaCha20- und RSA-Algorithmen verantwortlich ist. Bevor mit der Verschlüsselung begonnen wird, werden jedoch alle mit dem Windows-Neustart-Manager verbundenen Prozesse und Dienste beendet.
Die Kasseika-Ransomware verlangt von den Opfern exorbitante Lösegeldzahlungen
Nach der Verschlüsselung wird in jedem betroffenen Verzeichnis ein Lösegeldschein hinterlegt, begleitet von einer Änderung des Computerhintergrunds, die eine Aufforderung zur Zahlung von 50 Bitcoins an eine angegebene Wallet-Adresse anzeigt. Voraussetzung ist, dass die Zahlung innerhalb von 72 Stunden erfolgt; Andernfalls besteht die Gefahr, dass nach Ablauf der Frist alle 24 Stunden eine zusätzliche Gebühr in Höhe von 500.000 US-Dollar anfällt.
Darüber hinaus müssen Opfer einen Screenshot, der die erfolgreiche Zahlung bestätigt, in einer vom Akteur kontrollierten Telegram-Gruppe teilen, um das Entschlüsselungstool zu erhalten.
Die Kasseika-Ransomware ist mit umfangreichen Bedrohungsfunktionen ausgestattet
Zusätzlich zu ihren Hauptfunktionen nutzt die Kasseika-Ransomware zusätzliche Taktiken, um ihre Spuren zu verwischen. Eine dieser Techniken besteht darin, Spuren seiner Aktivitäten zu löschen, indem die Binärdatei wevtutil.exe zum Löschen der Ereignisprotokolle des Systems verwendet wird. Dieser Befehl löscht effizient die Anwendungs-, Sicherheits- und Systemereignisprotokolle auf dem Windows-System. Durch den Einsatz dieser Methode agiert die Ransomware diskret, was es für Sicherheitstools schwieriger macht, bösartige Aktivitäten zu erkennen und darauf zu reagieren.
Die Lösegeldforderung der Kasseika Ransomware an die Opfer lautet:
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
