Fesihle bağlantılı olabilecek bir fidye yazılımı grubu KaraMadde çetesi, fidye yazılımının dağıtımı için antivirüs (AV) süreçlerini ve hizmetlerini sonlandırabilecek, yeni ortaya çıkan bir saldırı türünü dağıtmak için diğer birkaç düşmana katıldı.
Trend Micro’daki araştırmacılar, Kasseika fidye yazılımının arkasındaki aktörlerin, kendi güvenlik açığı bulunan sürücünüzü getir (BYOVD) saldırısını kullandığını ortaya çıkardı; bu, fidye yazılımı dağıtmak için bu yöntemi benimseyen az sayıda gruptan biri. bir blog yazısı 23 Ocak’ta yayınlandı.
BYOVD, tehdit aktörlerinin geçen yıl kullanmaya başladığı bir tekniktir Bu, fidye yazılımının yürütülmesinin önünü açmak için bazı sistem savunmalarını işe yaramaz hale getirir. Trend Micro’dan alıntı yapıldı Akira, SiyahByteVe AvosLocker genellikle bu tür saldırıları kullanan fidye yazılımı grupları olarak meşru bir aygıt sürücüsündeki bir güvenlik açığından yararlanıyor fidye yazılımını yürütmek, ayrıcalıkları yükseltmek ve güvenlik kontrollerini atlamak için.
“Bu vakayı araştırdık, Kasseika Bir grup TrendMicro analisti ve mühendisinin gönderisine göre, fidye yazılımı Martini sürücüsünü kurban makinenin antivirüsle ilgili süreçlerini sonlandırmak için kötüye kullandı.”
BlackMatter Fidye Yazılımına Bağlantı
Kasseika, fidye yazılımı sahnesinde nispeten yeni olmasına rağmen, saldırıda kullanılan kaynak kodunun çoğunluğu, Kasseika’nın kullandığı kodla aynı. KaraMaddeA tehlikeli Başka bir grup olan DarkSide’dan yeniden doğan, ancak 2021’de faaliyetlerini durdurması beklenen bir hizmet olarak fidye yazılımı (RaaS) grubu.
O zamandan bu yana, diğer gruplar BlackMatter’a benzer teknikler ve araçlar kullanarak fidye yazılımını canlı tutuyor gibi görünüyor, ancak Kasseika ile daha ayrıcalıklı bir operatör grubu eski koduna erişip onu uyguladı. yeni türlerTrend Micro’ya göre. Aslında “kasseika” Japonca’da yeniden canlandırma, gençleştirme veya canlandırma anlamına gelir.
“Araştırmamıza göre BlackMatter kaynak kodu Araştırmacılar, yaygın olarak mevcut olmadığından bu Kasseika fidye yazılımı saldırısında kullanılması, sınırlı bir gruptaki olgun bir aktörün ona erişim elde ettiğini veya satın aldığını gösteriyor” diye yazdı.
İlk Giriş ve BYOVD’nin Yürütülmesi
Kasseika’da fidye yazılımı saldırısı Trend Micro tarafından gözlemlenen saldırganlar, ağa ilk erişim için hedef şirketteki bir çalışanın kimlik bilgilerini çalmak amacıyla kimlik avı tekniklerini kullandı. Daha sonra ayrıcalıklı erişim elde etmek ve ortamda yatay olarak hareket etmek için uzaktan yönetim araçlarını (RAT’ler) kullandı.
Kasseika, fidye yazılımı yükünü yürütmek için, başlangıçta ağ yönetimi için tasarlanan ancak kötü amaçlı bir .BAT dosyasını uzaktan dağıtmak için kötüye kullanılabilen meşru Windows RAT PsExec’i kötüye kullandı; bu durumda da bu gerçekleşti.
BYOVD açısından saldırı, hedeflenen ağın “Martini.sys” sürücüsündeki (TG Soft tarafından geliştirilen VirIT Ajan Sisteminin bir parçası) güvenlik açıklarından yararlanarak ortamda mevcut çeşitli güvenlik araçlarını devre dışı bıraktı. Sürücü ortamda mevcut değilse, kötü amaçlı yazılım kendi kendini sonlandıracak ve ilerlemeyecektir.
Martini.sys’nin varlığı doğrulanırsa Kasseika, CreateFileW işlevini kullanarak Martini.sys sürücüsünü bir Martini.exe dosyası aracılığıyla yükler. Bu, sistemdeki tüm aktif süreçlerin sürekli olarak taranmasını ve mevcut antivirüs ürünlerinin, güvenlik araçlarının, analiz araçlarının ve sistem yardımcı program araçlarının sonlandırılmasını sağlar.
Araştırmacılar, Kasseika fidye yazılımının aynı zamanda süreç izleme, sistem izleme ve analiz araçlarıyla ilgili uygulamaları da keşfettiğini, bu faaliyetlerle ilgili aktif süreçleri keşfederek savunma-kaçırma tekniklerini seviyelendirdiğini ve sisteme girmeleri durumunda kendini sonlandırdığını belirtti.
Kasseika Fidye Yazılımının Yürütülmesi
Kasseika fidye yazılımı, Trend Micro’ya göre saldırganlar tarafından “müthiş kod gizleme ve hata ayıklama önleme teknikleri” için kullanılan ve ikili dosyalar üzerinde tersine mühendislik yapılmasını zorlaştıran Themida tarafından paketlenmiş 32 bitlik bir Windows PE dosyasıdır.
Kasseika, şifrelemeden önce Windows Yeniden Başlatma Yöneticisine erişen tüm işlemleri ve hizmetleri sonlandırır ve ardından saldırıyı başlatmak için yeni bir oturum başlatır. Fidye yazılımı, şifreleme algoritması anahtarı olarak “ChaCha20″yi ve açık kaynak C++ kütüphanesi CryptoPP’nin RSA şifreleme algoritmasını kullanıyor.
Kasseika daha sonra ChaCha20 matrisinin rastgele oluşturulmuş baytlardan oluşan değiştirilmiş bir versiyonunu oluşturur ve bu daha sonra RSA genel anahtarıyla şifrelenecek bir arabelleğe kopyalanır. Bundan sonra şifrelenmiş arabellek, ChaCha20 matrisinin değiştirilmiş versiyonuna yazılır ve fidye yazılımı, hedef dosyaları şifrelemek için bu değiştirilmiş matrisi kullanır.
Başarılı şifrelemenin ardından Kasseika fidye yazılımı, şifrelenmiş dosyaları yeniden adlandırır ve şifrelenmiş dosya uzantısını fidye notunun adı olarak yeniden kullanır. CBhwKBgQD.README.txtKasseika’nın her şifrelenmiş dizine bırakacağı. Kasseika fidye yazılımı, şifreleme rutininin sonunda etkilenen sistemin duvar kağıdını değiştirir.
Grubun diğer kaçırma saldırıları, Windows sistemindeki Uygulama, Güvenlik ve Sistem olay günlüklerini verimli bir şekilde temizlemek için wevutil.exe komutunu kullanır. Araştırmacılar, bunun “güvenlik araçlarının kötü niyetli etkinlikleri tespit etmesini ve bunlara yanıt vermesini daha zor hale getirdiğini” belirtti.
Kasseika BYOVD’ye Karşı Savunma
İle bu tür BYOVD siber saldırılarına karşı savunma yapın Kasseika ve diğer fidye yazılımı grupları tarafından geliştirilen Trend Micro, kuruluşların çalışanlara yalnızca gerektiğinde yönetim hakları ve erişim vermesini, ayrıca güvenlik ürünlerinin düzenli olarak güncellenmesini ve periyodik taramalar gerçekleştirmesini önermektedir. Kuruluşlar ayrıca bir saldırı durumunda hızlı bir şekilde kurtarılabilmeleri için kritik verilerin düzenli olarak yedeklenmesini sağlamalıdır.
Ayrıca, Kasseika’da ve diğer birçok saldırıda olduğu gibi, çalışanların kimlik avı yoluyla tehlikeye atılmasını önlemek için kuruluşlar aynı zamanda iyi e-posta ve web sitesi güvenliği uygulamaları yapmalı ve çalışanlara yalnızca ekleri indirmelerini, URL’leri seçmelerini ve güvenilir kaynaklardan programlar yürütmelerini tavsiye etmelidir. kaynaklar. Ayrıca ağda bulunan kötü amaçlı e-postaları engelleyen araçlar da bulunmalıdır.
Kuruluşların çalışanlar için uygulayabileceği diğer iyi güvenlik hijyeni uygulamaları arasında, onları potansiyel olarak şüpheli e-postalar ve dosyalar konusunda güvenlik ekibini uyarmaya teşvik etmek ve düzenli güvenlik önlemleri almak yer alır. eğitim ve öğretim oturumları Sosyal mühendisliğin tehlikeleri ve sinyalleri üzerine.