Kasseika ransomware vírusirtó illesztőprogrammal próbálják megbénítani más vírusirtó szoftvereket
A Kasseika nevű zsarolóvírus, amely nemrég került napvilágra, csatlakozott azon csoportokhoz, amelyek BYOVD (Bring Your Own Vulnerable Driver) taktikát alkalmaznak a vírusirtó szoftverek leállítására, mielőtt titkosítanák a fájlokat.
A Kasseika cég a TG Soft VirtIT Agent System szoftverében található Martini illesztőprogramot (Martini.sys/viragt64.sys) alkalmazza annak érdekében, hogy meghiúsítsa a rendszer védelmét szolgáló vírusirtó programok működését.
A Kasseika néven ismert új zsarolóvírust először a Trend Micro elemzői fedezték fel és vizsgálták meg december 2023-ban. Az elemzők szerint a Kasseika számos hasonlóságot mutat a BlackMatter zsarolóvírussal. Mivel a BlackMatter forráskódja nem szivárgott ki a 2021 végén történt leállítása óta, valószínű, hogy a Kasseika-t vagy a csoport korábbi tagjai, vagy tapasztalt zsarolóvírus csoportok fejlesztették.
A Kasseika támadássorozatok azzal a módszerrel kezdődnek, hogy adathalász e-maileket küldenek a célszemélyeknek, akik a szervezet munkatársai. Az e-mailek célja az alkalmazottak fiókjainak azonosítási adatainak ellopása, amelyeket a vállalati hálózathoz való hozzáféréshez használnak.
Ezután a rosszindulatú .bat fájlok futtatásához a rendszereken a Windows PsExec eszközét alkalmazzák. A batch fájl ellenőrzi, hogy jelen van-e a „Martini.exe” nevű folyamat, és ha igen, leállítja azt. Ezután letölti a „Martini.sys” illesztőprogramot a számítógépre. Az illesztőprogram jelenléte kulcsfontosságú a támadási láncban, mivel a Kasseika nem folytatódik, ha nem sikerül létrehozni a „Martini” szolgáltatást, vagy ha a „Martini.sys” nem található a rendszerben.
Egy biztonságpolitikai szakértő szerint, a rosszindulatú szoftverek kihasználhatják a betöltött illesztőprogramokban található hibákat, és jogosultságot szerezhetnek 991 folyamat megszüntetésére. Ezek között számos olyan folyamat található, amelyek antivírus termékek, biztonsági eszközök, elemzőeszközök és rendszerszintű segédprogramok működését segítik.
A Kasseika végső lépésként elindítja a Martini.exe fájlt, amely az AV folyamatok megszüntetését végzi el. Ezt követően aktiválja a fő zsarolóprogram bináris változatát (smartscreen_protected.exe). Végül futtat egy „clear.bat” nevű scriptet a támadás nyomai eltávolítása érdekében.
A kiberbűnözői szoftver biztonsági megoldásokat alkalmaz a célzott fájlok titkosítására, beleértve a ChaCha20 és RSA titkosítási algoritmusokat, továbbá egy véletlenszerű karakterláncot is csatol a fájlnevekhez. Ezután minden titkosított mappába váltságdíj-fizetési üzenetet másol, és a számítógép háttérképét is úgy módosítja, hogy a támadásról szóló üzenet jelenjen meg rajta.
A Kasseika végezetül titkosítás után eltávolítja a rendszer eseménynaplóit, amelyeket a „wevutil.exe” segítségével töröl, ezzel elrejtve tevékenységének nyomait és megnehezítve a biztonsági elemzést.
A Trend Micro által észlelt támadások során a célpontoknak 3 nap állt rendelkezésükre arra, hogy 50 bitcoint (2 000 000 dollárt) fizessenek be, és minden 24 órás késleltetéssel további 500 000 dollárral növeljék a kifizetés összegét. A célpontoknak egy privát Telegram csoportban kellett bemutatniuk a befizetést igazoló képernyőképet, hogy megkapják a dekódolót.
Forrás: nki.gov.hu