Kasseika ransomware: Χρησιμοποιεί antivirus driver για να απενεργοποιήσει άλλα antivirus

Μια πρόσφατα αποκαλυφθείσα λειτουργία ransomware με το όνομα “Kasseika” έχει ενταχθεί στο κλαμπ των απειλών που χρησιμοποιούν τακτικές Bring Your Own Vulnerable Driver (BYOVD) για να απενεργοποιήσουν λογισμικό antivirus πριν κρυπτογραφήσουν αρχεία.

Δείτε επίσης: ALPHV/BlackCat ransomware: Η πρόσφατη διακοπή λειτουργίας μπορεί να οφείλεται σε “χτύπημα” από τις αρχές

Το Kasseika ransomware χρησιμοποιεί κατάχρηση του οδηγού Martini (Martini.sys/viragt64.sys), ο οποίος ανήκει στο VirtIT Agent System της TG Soft, για να απενεργοποιήσει τα προϊόντα antivirus που προστατεύουν το σύστημα που επιλέγει ως στόχο.

Σύμφωνα με την Trend Micro, οι αναλυτές της εταιρείας ανακάλυψαν και εξέτασαν για πρώτη φορά το Kasseika τον Δεκέμβριο του 2023. Η νέα παραλλαγή ransomware διαθέτει πολλές αλυσίδες επιθέσεων και ομοιότητες στον πηγαίο κώδικα με το BlackMatter.

Περισσότερα... Subscribe!

Καθώς ο κώδικας του BlackMatter δεν έχει διαρρεύσει δημοσίως από την απενεργοποίησή του στα τέλη του 2021, το Kasseika πιθανότατα δημιουργήθηκε από πρώην μέλη της ομάδας απειλής ή έμπειρους δράστες ransomware που αγόρασαν τον κώδικά του.

Οι επιθέσεις ξεκινούν με ένα phishing email που αποστέλλεται σε υπαλλήλους του στοχευμένου οργανισμού, με στόχο να κλέψουν τα διαπιστευτήριά τους, τα οποία θα χρησιμοποιηθούν για αρχική πρόσβαση στο εταιρικό δίκτυο.

Στη συνέχεια, οι χειριστές του Kasseika καταχρώνται το εργαλείο PsExec των Windows για να εκτελέσουν κακόβουλα αρχεία .bat στο μολυσμένο σύστημα και σε άλλα συστήματα στα οποία έχουν αποκτήσει πρόσβαση μέσω πλευρικής μετακίνησης.

Το αρχείο παρτίδας ελέγχει την ύπαρξη μίας διεργασίας με το όνομα ‘Martini.exe‘ και την τερματίζει για να αποφευχθούν παρεμβολές. Στη συνέχεια, λαμβάνει λήψη του ευάλωτου οδηγού ‘Martini.sys‘ στη συγκεκριμένη μηχανή.

Δείτε ακόμα: Ισπανία: Phishing emails διανέμουν το LockBit Locker ransomware

Η παρουσία του οδηγού αυτού είναι κρίσιμη στην αλυσίδα επίθεσης, καθώς το Kasseika δεν θα προχωρήσει περαιτέρω αν η δημιουργία της υπηρεσίας ‘Martini’ αποτύχει ή αν το ‘Martini.sys’ δεν βρεθεί στο σύστημα.

Χρησιμοποιώντας τις επιθέσεις BYOVD, γνωστές και ως εκμετάλλευση ελλείψεων στον φορτωμένο οδηγό, το κακόβουλο λογισμικό αποκτά τα δικαιώματα να τερματίσει 991 διεργασίες από μια προκαθορισμένη λίστα, πολλές από τις οποίες αντιστοιχούν σε προϊόντα antivirus, εργαλεία ασφαλείας, εργαλεία ανάλυσης και διαχείρισης συστήματος.

Τελικά, το Kasseika ransomware εκτελεί το Martini.exe για να τερματίσει τις διεργασίες του ΑΠ και στη συνέχεια εκκινεί το κύριο αρχείο ransomware (smartscreen_protected.exe). Έπειτα, εκτελεί ένα σενάριο ‘clear.bat‘ για να αφαιρέσει τα ίχνη της επίθεσης.

Το ransomware χρησιμοποιεί τους αλγόριθμους κρυπτογράφησης ChaCha20 και RSA για να κρυπτογραφήσει τα αρχεία-στόχους, προσθέτοντας έναν ψευδοτυχαίο χαρακτήρα στα ονόματα των αρχείων, παρόμοια με το BlackMatter. Το Kasseika αφήνει μια απαίτηση λύτρων σε κάθε φάκελο που έχει κρυπτογραφήσει και επίσης αλλάζει την ταπετσαρία του υπολογιστή για να εμφανίζει ένα σημείωμα σχετικά με την επίθεση.

Τέλος, το Kasseika εκκαθαρίζει τα αρχεία καταγραφής συμβάντων συστήματος μετά την κρυπτογράφηση, χρησιμοποιώντας εντολές όπως το ‘wevutil.exe‘ για να διαγράψει τα ίχνη των δραστηριοτήτων του και να κάνει την ανάλυση ασφαλείας πιο δύσκολη.

Δείτε επίσης: HTC Global Services: Το ALPHV/BlackCat ransomware πίσω από την επίθεση;

Το BlackMatter ransomware είναι ένας επιθετικός τύπος κακόβουλου λογισμικού που μπορεί να έχει σοβαρές επιπτώσεις στα συστήματα πληροφορικής. Μόλις μολύνει ένα σύστημα, κρυπτογραφεί τα δεδομένα του χρήστη, καθιστώντας τα μη προσβάσιμα.

Αυτό σημαίνει ότι οι χρήστες δεν μπορούν να χρησιμοποιήσουν τα δεδομένα τους, τα οποία μπορεί να περιλαμβάνουν σημαντικά έγγραφα, φωτογραφίες, βίντεο και άλλα αρχεία. Αυτό μπορεί να προκαλέσει σημαντικές διακοπές στη λειτουργία των επιχειρήσεων και να έχει σοβαρές οικονομικές επιπτώσεις.

Επιπλέον, το BlackMatter ransomware απαιτεί από τους χρήστες να πληρώσουν ένα λύτρο για την αποκρυπτογράφηση των δεδομένων τους. Αυτό μπορεί να είναι πολύ δαπανηρό και δεν υπάρχει καμία εγγύηση ότι οι επιτιθέμενοι θα αποκαταστήσουν πραγματικά τα δεδομένα μετά την πληρωμή.

Τέλος, η μόλυνση από BlackMatter ransomware μπορεί να οδηγήσει σε παραβίαση των δεδομένων. Οι επιτιθέμενοι μπορεί να κλέψουν ευαίσθητες πληροφορίες, όπως προσωπικά δεδομένα, εταιρικά έγγραφα ή πληροφορίες πελατών, πριν κρυπτογραφήσουν τα αρχεία. Αυτό μπορεί να οδηγήσει σε περαιτέρω νομικές και ρυθμιστικές επιπτώσεις.

Πηγή: bleepingcomputer