Die kürzlich entdeckte Ransomware-Operation ‚Kasseika‘ verwendet die Taktik des Mitbringens eigener anfälliger Treiber (BYOVD), um Antivirensoftware zu deaktivieren, bevor Dateien verschlüsselt werden.

Kasseika missbraucht den Martini-Treiber (Martini.sys/viragt64.sys), der Teil des TG Soft’s VirtIT Agent Systems ist, um Antivirenprodukte auf dem Zielcomputer auszuschalten.

Laut Trend Micro, deren Analysten Kasseika im Dezember 2023 entdeckt und untersucht haben, weist diese neue Ransomware viele Ähnlichkeiten im Angriffsablauf und im Quellcode mit BlackMatter auf. Da der Quellcode von BlackMatter seit seiner Schließung Ende 2021 nie öffentlich geleakt wurde, wurde Kasseika wahrscheinlich von ehemaligen Mitgliedern der Bedrohungsgruppe oder erfahrenen Ransomware-Akteuren entwickelt, die dessen Code erworben haben.

Angriffsablauf von Kasseika:

  1. Phishing-E-Mail: Die Angriffe beginnen mit einer Phishing-E-Mail an Mitarbeiter der Zielorganisation, um deren Kontozugangsdaten zu stehlen, die dann für den ersten Zugang zum Unternehmensnetzwerk verwendet werden.
  2. Missbrauch des Windows PsExec-Tools: Kasseika-Operatoren nutzen PsExec, um bösartige .bat-Dateien auf dem infizierten und anderen über laterale Bewegung zugänglichen Systemen auszuführen.
  3. Herunterladen des anfälligen Treibers: Die .bat-Datei prüft auf das Vorhandensein eines Prozesses namens ‚Martini.exe‘, beendet diesen und lädt dann den anfälligen ‚Martini.sys‘-Treiber herunter.
  4. Deaktivierung von Antivirenprozessen: Durch BYOVD-Angriffe erhält die Malware die Berechtigung, 991 Prozesse zu beenden, viele davon gehören zu Antivirenprogrammen, Sicherheitswerkzeugen und Systemdienstprogrammen.
  5. Ausführen der Ransomware: Kasseika führt Martini.exe aus, um AV-Prozesse zu beenden, startet dann den Haupt-Ransomware-Binary (smartscreen_protected.exe) und führt ein ‚clear.bat‘-Skript aus, um Angriffsspuren zu beseitigen.

Kasseika nutzt die Verschlüsselungsalgorithmen ChaCha20 und RSA, um Zieldateien zu verschlüsseln, und hängt ähnlich wie BlackMatter einen pseudozufälligen String an die Dateinamen an. Sie hinterlässt eine Lösegeldforderung in jedem verschlüsselten Verzeichnis und ändert das Computer-Wallpaper, um eine Notiz über den Angriff anzuzeigen.

Nach der Verschlüsselung löscht Kasseika Systemereignisprotokolle, um Spuren ihrer Aktivitäten zu beseitigen und die Sicherheitsanalyse zu erschweren. In den von Trend Micro beobachteten Angriffen wurden Opfer aufgefordert, innerhalb von 72 Stunden 50 Bitcoins (2.000.000 US-Dollar) zu zahlen, mit einem weiteren Aufschlag von 500.000 US-Dollar für jede 24 Stunden Verzögerung.

Opfer müssen einen Zahlungsnachweis in einer privaten Telegram-Gruppe posten, um einen Entschlüsseler zu erhalten, wobei die maximale Frist dafür auf 120 Stunden (5 Tage) gesetzt ist.

Trend Micro hat Indikatoren für einen Kompromiss (IoCs) im Zusammenhang mit der Kasseika-Bedrohung separat in dieser Textdatei veröffentlicht.