De ransomware-groep bekend als Kasseika is de nieuwste versie geworden die gebruik maakt van de Bring Your Own Vulnerable Driver (BYOVD)-aanval om beveiligingsgerelateerde processen op gecompromitteerde Windows-hosts uit te schakelen, en sluit zich aan bij andere groepen zoals Akira, AvosLocker, BlackByte en RobbinHood.
Deze tactiek stelt “bedreigingsactoren in staat antivirusprocessen en -diensten te beëindigen voor de inzet van ransomware”, aldus Trend Micro in een analyse van dinsdag.
Kasseika, voor het eerst ontdekt door het cyberbeveiligingsbedrijf medio december 2023, vertoont overlappingen met het inmiddels ter ziele gegane BlackMatter, dat ontstond in de nasleep van de sluiting van DarkSide.
Er zijn aanwijzingen dat de ransomware-soort het werk zou kunnen zijn van een ervaren bedreigingsacteur die toegang tot BlackMatter heeft verkregen of gekocht, aangezien de broncode van laatstgenoemde na de ondergang ervan in november 2021 nooit publiekelijk is gelekt.
Aanvalsketens waarbij Kasseika betrokken is, beginnen met een phishing-e-mail voor initiële toegang, waarna tools voor extern beheer (RAT’s) worden verwijderd om geprivilegieerde toegang te krijgen en zich lateraal binnen het doelnetwerk te verplaatsen.
Er is waargenomen dat de bedreigingsactoren het opdrachtregelhulpprogramma Sysinternals PsExec van Microsoft gebruiken om een kwaadaardig batchscript uit te voeren, dat controleert op het bestaan van een proces met de naam ‘Martini.exe’ en, indien gevonden, dit beëindigt en ervoor zorgt dat er slechts één exemplaar van het proces is. proces waarop de machine draait.
De belangrijkste verantwoordelijkheid van het uitvoerbare bestand is het downloaden en uitvoeren van het stuurprogramma “Martini.sys” vanaf een externe server om 991-beveiligingstools uit te schakelen. Het is vermeldenswaard dat “Martini.sys” een legitiem ondertekend stuurprogramma is met de naam “viragt64.sys” dat is toegevoegd aan de blokkeerlijst voor kwetsbare stuurprogramma’s van Microsoft.
“Als Martini.sys niet bestaat, zal de malware zichzelf beëindigen en niet verder gaan met de beoogde routine”, aldus de onderzoekers, waarmee ze de cruciale rol aanduiden die de bestuurder speelt bij het ontwijken van de verdediging.
Na deze stap lanceert “Martini.exe” de ransomware-payload (“smartscreen_protected.exe”), die zorgt voor het versleutelingsproces met behulp van ChaCha20- en RSA-algoritmen, maar niet voordat alle processen en services zijn uitgeschakeld die toegang hebben tot Windows Restart Manager.
Vervolgens wordt in elke map die is gecodeerd een losgeldbrief geplaatst en wordt de achtergrond van de computer aangepast om een briefje weer te geven waarin een betaling van 50 bitcoin naar een portemonnee-adres binnen 72 uur wordt geëist, anders riskeert u elke 24 uur een extra $ 500.000 te betalen zodra de deadline is verstreken.
Bovendien wordt van de slachtoffers verwacht dat ze een screenshot van de succesvolle betaling naar een door een acteur gecontroleerde Telegram-groep posten om een decryptor te ontvangen.
De Kasseika-ransomware heeft ook nog andere trucs in petto, waaronder het wissen van sporen van de activiteit door de gebeurtenislogboeken van het systeem te wissen met behulp van het binaire bestand wevtutil.exe.
“Het commando wevutil.exe wist op efficiënte wijze de applicatie-, beveiligings- en systeemgebeurtenislogboeken op het Windows-systeem”, aldus de onderzoekers. “Deze techniek wordt gebruikt om discreet te werken, waardoor het voor beveiligingstools een grotere uitdaging wordt om kwaadaardige activiteiten te identificeren en erop te reageren.”
De ontwikkeling komt op het moment dat Palo Alto Networks Unit 42 de verschuiving van de BianLian ransomware-groep van dubbele afpersing naar encryptieloze afpersingsaanvallen beschrijft na de release van een gratis decryptor begin 2023.
BianLian is sinds september 2022 een actieve en wijdverbreide dreigingsgroep, die zich voornamelijk richt op de sectoren gezondheidszorg, productie, professionele en juridische dienstverlening in de VS, het VK, Canada, India, Australië, Brazilië, Egypte, Frankrijk, Duitsland en Spanje.
Gestolen Remote Desktop Protocol (RDP)-inloggegevens, bekende beveiligingsfouten (bijvoorbeeld ProxyShell) en webshells fungeren als de meest voorkomende aanvalsroutes die door BianLian-operators worden gebruikt om bedrijfsnetwerken te infiltreren.
Bovendien deelt de cybercriminaliteitsploeg een aangepaste .NET-gebaseerde tool met een andere ransomwaregroep die wordt gevolgd als Makop, wat mogelijke verbanden tussen de twee suggereert.
“Deze .NET-tool is verantwoordelijk voor het ophalen van bestandsopsommingen, register- en klembordgegevens”, zei beveiligingsonderzoeker Daniel Frank in een nieuw overzicht van BianLian.
“Deze tool bevat enkele woorden in de Russische taal, zoals de cijfers één tot en met vier. Het gebruik van een dergelijke tool geeft aan dat de twee groepen in het verleden mogelijk een toolset hebben gedeeld of de diensten van dezelfde ontwikkelaars hebben gebruikt.”
