พบกลุ่ม Ransomware ในชื่อ 'Kasseika' ที่เพิ่งถูกค้นพบ ได้ใช้กลยุทธ์ Bring Your Own Vulnerable Driver (BYOVD) เพื่อปิดการใช้งานซอฟต์แวร์ป้องกันไวรัสก่อนเข้ารหัสไฟล์ข้อมูลของเป้าหมาย
โดย Kasseika ได้ใช้ไดรเวอร์ Martini (Martini.sys/viragt64.sys) ซึ่งเป็นส่วนหนึ่งของ VirtIT Agent System ของ TG Soft เพื่อปิดการใช้งานผลิตภัณฑ์ Antivirus ของระบบเป้าหมาย
นักวิจัยของ Trend Micro พบ Kasseika Ransomware ครั้งแรกในเดือนธันวาคม 2023 ซึ่ง Kasseika มีขั้นตอนการโจมตี และ source code ที่คล้ายกับกลุ่ม BlackMatter
โดยข้อมูลของกลุ่ม BlackMatter ไม่เคยถูกพบอีกเลยหลังจากการปิดตัวลงของกลุ่มนี้ในปี 2021 นักวิจัยจึงคาดว่า Kasseika น่าจะถูกสร้างขึ้นจากอดีตสมาชิกของกลุ่ม Ransomware ที่มีประสบการณ์
การโจมตีของ Kasseika
การโจมตีของ Kasseika จะเริ่มต้นโดยการส่ง phishing email ไปยังพนักงานขององค์กรเป้าหมาย โดยพยายามขโมยข้อมูลประจำตัว เพื่อเข้าถึงเครือข่ายองค์กรในขั้นตอนแรก
หลังจากนั้น Kasseika จะใช้ Windows PsExec tool เพื่อเรียกใช้ .bat ที่เป็นอันตรายบนระบบที่สามารถเข้าถึงได้ พร้อมทั้งกระจายไปยังเครื่องอื่น ๆ ในระบบ (lateral movement) ซึ่ง .bat ดังกล่าวจะทำการค้นหา และตรวจสอบ process ที่ชื่อ 'Martini.exe' หลังจากนั้นจะทำการหยุดการทำงาน และดาวน์โหลดไดรเวอร์ 'Martini.sys' ที่มีช่องโหว่เพื่อเรียกใช้งานแทน ทั้งนี้ Kasseika จะไม่ดำเนินการโจมตีในขั้นตอนต่อไป หากการสร้าง process 'Martini' ล้มเหลว หรือไม่พบ 'Martini.sys' ในระบบ
การโจมตีโดยใช้วิธี BYOVD หรือการใช้ประโยชน์จากช่องโหว่ในการโหลดไดรเวอร์ มัลแวร์จะได้รับสิทธิ์พิเศษในการหยุดการทำงานของ process 991 จากรายการฮาร์ดโค้ด ซึ่งส่วนใหญ่เกี่ยวข้องกับผลิตภัณฑ์ antivirus products, security tools, analysis tools และ system utilities
หลังจากนั้น Kasseika จะเรียกใช้ Martini.exe เพื่อหยุดการทำงานของ antivirus และเปิดการทำงานของ ransomware binary (smartscreen_protected.exe) เพื่อรันสคริปต์ 'clear.bat' ในการปกปิดร่องรอยการโจมตี
Kasseika จะใช้ ChaCha20 และ RSA encryption algorithms ในการเข้ารหัสไฟล์เป้าหมาย โดยสุ่มค่าสตริงปลอมเข้ากับชื่อไฟล์ คล้ายกับการเข้ารหัสไฟล์ของ BlackMatter
จากนั้นก็จะทิ้งจดหมายเรียกค่าไถ่ในทุก directory ถูกเข้ารหัส และเปลี่ยน wallpaper บนเครื่องที่ถูกโจมตี เพื่อให้เป้าหมายรู้ตัว หลังจากนั้น Kasseika จะทำการลบข้อมูล log หลังจากการเข้ารหัส โดยใช้คำสั่งเช่น 'wevutil.exe' เพื่อปกปิดร่องรอยการโจมตี รวมถึงทำให้วิเคราะห์ข้อมูลยากขึ้นอีกด้วย
หลังจากการโจมตี เหยื่อจะมีเวลา 72 ชั่วโมงในการชำระเงินค่าไถ่จำนวน 50 Bitcoins ($2,000,000) และจะเพิ่มอีก $500,000 ทุกๆ 24 ชั่วโมง หากยังไม่ทำการจ่ายเงินค่าไถ่ หากเหยื่อทำการจ่ายเงินค่าไถ่แล้ว จะต้องโพสต์ภาพหน้าจอหลักฐานการชำระเงินใน Telegram ส่วนตัวเพื่อรับตัวถอดรหัส โดยกำหนดเวลาสูงสุดในการดำเนินการจ่ายค่าไถ่คือ 120 ชั่วโมง (5 วัน)
โดยปัจจุบันนักวิจัยของ Trend Micro ได้เผยแพร่ indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีของกลุ่ม Kasseika ออกมาแล้วดังนี้
IOC
ที่มา :
https://www.bleepingcomputer.com/news/security/kasseika-ransomware-uses-antivirus-driver-to-kill-other-antiviruses/
https://documents.trendmicro.com/images/TEx/20240122-kasseika-iocsXiHKJpM.txt
You must be logged in to post a comment.