Kasseika Ransomware
Kasseika という名前のランサムウェア グループは最近、Bring Your Own Vulnerable Driver (BYOVD) 攻撃手法を採用し、侵害された Windows システム上のセキュリティ プロセスを無力化しました。このアプローチは、Kasseika を、 Akira 、 AvosLocker、 BlackByte 、 RobbinHoodなどの他のグループと連携させます。これらのグループは、同じく BYOVD 技術を使用してマルウェア対策プロセスとサービスを無効にし、ランサムウェアの展開を容易にします。
2023 年 12 月中旬にサイバーセキュリティの専門家によって最初に特定された Kasseika は、 DarkSideの閉鎖後に出現した、現在は解散したBlackMatterグループとの類似点を共有しています。 Kasseika に関連するランサムウェアの亜種は、経験豊富な攻撃者が BlackMatter にアクセスしたり、BlackMatter から資産を購入したりした結果である可能性を示唆する兆候があります。この憶測は、BlackMatterのソースコードが2021年11月の消滅以来公に公開されていないという事実から生じている。
目次
Kasseika ランサムウェアによるデバイスの感染に利用された攻撃ベクトル
Kasseika の攻撃シーケンスは、初期アクセス用に設計されたフィッシングメールで始まり、その後、リモート アクセス ツール (RAT) が展開されて特権エントリを取得し、標的のネットワーク内を横方向に移動します。特に、このキャンペーン内の攻撃者は、Microsoft の Sysinternals PsExec コマンド ライン ユーティリティを使用して、安全でないバッチ スクリプトを実行していることが観察されています。このスクリプトは、「Martini.exe」というプロセスの存在を確認し、検出された場合はプロセスを終了して、マシン上でプロセスのインスタンスが 1 つだけ実行されるようにします。
「Martini.exe」実行可能ファイルの主な役割は、「Martini.sys」ドライバをリモート サーバーからダウンロードして実行することです。このドライバーは、991 セキュリティ ツールを無効にする役割を果たします。 「Martini.sys」は「viragt64.sys」という名前で合法的に署名されたドライバーですが、Microsoft の脆弱なドライバーのブロックリストに含まれていることを言及するのは適切です。 「Martini.sys」が見つからない場合、マルウェアは自動的に終了し、それ以上の実行が回避されます。
このフェーズに続いて、「Martini.exe」は、ChaCha20 および RSA アルゴリズムを使用した暗号化プロセスを担当するランサムウェア ペイロード「smartscreen_protected.exe」の実行を開始します。ただし、暗号化を開始する前に、Windows 再起動マネージャーに関連付けられているすべてのプロセスとサービスが終了します。
Kasseika ランサムウェアは被害者に法外な身代金の支払いを要求
暗号化の後、身代金メモが影響を受ける各ディレクトリに置かれ、指定されたウォレット アドレスへの 50 ビットコインの支払い要求を表示するコンピュータの壁紙が変更されます。支払いは 72 時間以内に行うことが条件です。そうしないと、期限が切れると 24 時間ごとに 500,000 ドルの追加料金が発生する恐れがあります。
さらに、被害者は復号ツールを受け取るために、攻撃者が制御する Telegram グループで支払いが成功したことを確認するスクリーンショットを共有する必要があります。
Kasseika ランサムウェアは広範な脅威機能を備えています
Kasseika ランサムウェアは、その主な機能に加えて、その痕跡を隠すために追加の戦術を採用しています。このような手法の 1 つは、wevtutil.exe バイナリを利用してシステムのイベント ログをクリアすることにより、アクティビティの痕跡を消去することです。このコマンドは、Windows システム上のアプリケーション、セキュリティ、およびシステム イベント ログを効率的に消去します。この方法を採用することにより、ランサムウェアは慎重に動作し、セキュリティ ツールが悪意のあるアクティビティを検出して対応することがより困難になります。
Kasseika ランサムウェアが被害者に提示した身代金要求は次のとおりです。
'Your data are stolen and encrypted!
Deposit 50 Bitcoins into our wallet within 72 hours. After the time is exceeded, it will increase by $500,000 every 24 hours.
After the payment is successful, provide a screenshot to our Telegram group link, and we will provide you with a decryption program.
We will log off the Telegram account after 120 hours, after which you will never be able to decrypt your data and sell this data to the public.Bitcoin wallet address: bc1q3h8ggrd7dc35q4f7jsjp92hnfsc2jgqt9643sr
Telegram group link: hxxps://t.me/+Reeq_NTdXDpkYzE1'
