Brother
Professional
- Messages
- 2,590
- Reaction score
- 480
- Points
- 83
Группа программ-вымогателей, известная как Kasseika, стала последней, кто использовал атаку Bring Your Own Vulnerable Driver (BYOVD) для отключения процессов, связанных с безопасностью, на скомпрометированных хостах Windows, присоединившись к другим группам, таким как Akira, AvosLocker, BlackByte и RobbinHood.
Эта тактика позволяет "субъектам угрозы прерывать антивирусные процессы и службы для развертывания программ-вымогателей", сказал Trend Micro в анализе, опубликованном во вторник.
Kasseika, впервые обнаруженная фирмой по кибербезопасности в середине декабря 2023 года, демонстрирует совпадения с ныне несуществующим BlackMatter, который появился после закрытия DarkSide.
Есть основания полагать, что штамм программ-вымогателей мог быть делом рук опытного злоумышленника, который приобрел доступ к BlackMatter, учитывая, что исходный код последнего никогда публично не просачивался после его прекращения в ноябре 2021 года.
Цепочки атак с участием Kasseika начинаются с фишингового электронного письма для получения начального доступа, впоследствии отключаются инструменты удаленного администрирования (RATs) для получения привилегированного доступа и перемещения в пределах целевой сети.
Было замечено, что субъекты угрозы используют утилиту командной строки Microsoft Sysinternals PsExec для выполнения вредоносного пакетного сценария, который проверяет существование процесса с именем "Martini.exe ," и, если найден, завершает его, убедившись, что на компьютере запущен только один экземпляр процесса.
Основная задача исполняемого файла - загрузить и запустить драйвер "Martini.sys" с удаленного сервера, чтобы отключить 991 средство безопасности. Стоит отметить, что "Martini.sys" - это законный подписанный драйвер с именем "viragt64.sys", который был добавлен в список блокировки уязвимых драйверов Microsoft.
"Если Martini.sys не существует, вредоносное ПО завершит работу само по себе и не продолжит выполнение запланированной процедуры", - заявили исследователи, указывая на решающую роль, которую драйвер играет в уклонении от защиты.
После этого шага "Martini.exe" запускает полезную нагрузку программы-вымогателя ("smartscreen_protected.exe "), который заботится о процессе шифрования с использованием алгоритмов ChaCha20 и RSA, но не раньше, чем отключит все процессы и службы, которые обращаются к Windows Restart Manager.
Затем записка с требованием выкупа помещается в каждый каталог, который он зашифровал, а обои компьютера изменяются таким образом, чтобы на них отображалась записка с требованием перечислить 50 биткоинов на адрес кошелька в течение 72 часов или рисковать выплатой дополнительных 500 000 долларов каждые 24 часа по истечении крайнего срока.
Вдобавок ко всему, ожидается, что жертвы опубликуют скриншот успешного платежа в контролируемую актером группу Telegram, чтобы получить дешифратор.
У программы-вымогателя Kasseika припасены и другие хитрости, в том числе удаление следов активности путем очистки системных журналов событий с помощью wevtutil.exe двоичного файла.
"Команда wevutil.exe эффективно очищает журналы приложений, безопасности и системных событий в системе Windows", - сказали исследователи. "Этот метод используется для скрытной работы, что усложняет для инструментов безопасности выявление вредоносных действий и реагирование на них".
Разработка началась после того, как подразделение Palo Alto Networks 42 подробно описало переход BianLian ransomware group от схемы двойного вымогательства к атакам с вымогательством без шифрования после выпуска бесплатного дешифратора в начале 2023 года.
БяньЛянь является активной и распространенной группой угроз с сентября 2022 года, в основном выделяя секторы здравоохранения, производства, профессиональных и юридических услуг в США, Великобритании, Канаде, Индии, Австралии, Бразилии, Египте, Франции, Германии и Испании.
Украденные учетные данные протокола удаленного рабочего стола (RDP), известные уязвимости в системе безопасности (например, ProxyShell) и веб-оболочки являются наиболее распространенными маршрутами атак, используемыми операторами BianLian для проникновения в корпоративные сети.
Более того, у команды по борьбе с киберпреступностью есть общий обычай .СЕТЕВОЙ инструмент с другой группой программ-вымогателей, отслеживаемой как Makop, что предполагает потенциальную связь между ними.
"Это .NET tool отвечает за извлечение данных перечисления файлов, реестра и буфера обмена", - сказал исследователь безопасности Дэниел Франк в новом обзоре BianLian.
"Этот инструмент содержит некоторые слова на русском языке, такие как цифры от одного до четырех. Использование такого инструмента указывает на то, что эти две группы, возможно, имели общий набор инструментов или пользовались услугами одних и тех же разработчиков в прошлом".
Эта тактика позволяет "субъектам угрозы прерывать антивирусные процессы и службы для развертывания программ-вымогателей", сказал Trend Micro в анализе, опубликованном во вторник.
Kasseika, впервые обнаруженная фирмой по кибербезопасности в середине декабря 2023 года, демонстрирует совпадения с ныне несуществующим BlackMatter, который появился после закрытия DarkSide.
Есть основания полагать, что штамм программ-вымогателей мог быть делом рук опытного злоумышленника, который приобрел доступ к BlackMatter, учитывая, что исходный код последнего никогда публично не просачивался после его прекращения в ноябре 2021 года.
Цепочки атак с участием Kasseika начинаются с фишингового электронного письма для получения начального доступа, впоследствии отключаются инструменты удаленного администрирования (RATs) для получения привилегированного доступа и перемещения в пределах целевой сети.
Было замечено, что субъекты угрозы используют утилиту командной строки Microsoft Sysinternals PsExec для выполнения вредоносного пакетного сценария, который проверяет существование процесса с именем "Martini.exe ," и, если найден, завершает его, убедившись, что на компьютере запущен только один экземпляр процесса.
Основная задача исполняемого файла - загрузить и запустить драйвер "Martini.sys" с удаленного сервера, чтобы отключить 991 средство безопасности. Стоит отметить, что "Martini.sys" - это законный подписанный драйвер с именем "viragt64.sys", который был добавлен в список блокировки уязвимых драйверов Microsoft.
"Если Martini.sys не существует, вредоносное ПО завершит работу само по себе и не продолжит выполнение запланированной процедуры", - заявили исследователи, указывая на решающую роль, которую драйвер играет в уклонении от защиты.
После этого шага "Martini.exe" запускает полезную нагрузку программы-вымогателя ("smartscreen_protected.exe "), который заботится о процессе шифрования с использованием алгоритмов ChaCha20 и RSA, но не раньше, чем отключит все процессы и службы, которые обращаются к Windows Restart Manager.
Затем записка с требованием выкупа помещается в каждый каталог, который он зашифровал, а обои компьютера изменяются таким образом, чтобы на них отображалась записка с требованием перечислить 50 биткоинов на адрес кошелька в течение 72 часов или рисковать выплатой дополнительных 500 000 долларов каждые 24 часа по истечении крайнего срока.
Вдобавок ко всему, ожидается, что жертвы опубликуют скриншот успешного платежа в контролируемую актером группу Telegram, чтобы получить дешифратор.
У программы-вымогателя Kasseika припасены и другие хитрости, в том числе удаление следов активности путем очистки системных журналов событий с помощью wevtutil.exe двоичного файла.
"Команда wevutil.exe эффективно очищает журналы приложений, безопасности и системных событий в системе Windows", - сказали исследователи. "Этот метод используется для скрытной работы, что усложняет для инструментов безопасности выявление вредоносных действий и реагирование на них".
Разработка началась после того, как подразделение Palo Alto Networks 42 подробно описало переход BianLian ransomware group от схемы двойного вымогательства к атакам с вымогательством без шифрования после выпуска бесплатного дешифратора в начале 2023 года.
БяньЛянь является активной и распространенной группой угроз с сентября 2022 года, в основном выделяя секторы здравоохранения, производства, профессиональных и юридических услуг в США, Великобритании, Канаде, Индии, Австралии, Бразилии, Египте, Франции, Германии и Испании.
Украденные учетные данные протокола удаленного рабочего стола (RDP), известные уязвимости в системе безопасности (например, ProxyShell) и веб-оболочки являются наиболее распространенными маршрутами атак, используемыми операторами BianLian для проникновения в корпоративные сети.
Более того, у команды по борьбе с киберпреступностью есть общий обычай .СЕТЕВОЙ инструмент с другой группой программ-вымогателей, отслеживаемой как Makop, что предполагает потенциальную связь между ними.
"Это .NET tool отвечает за извлечение данных перечисления файлов, реестра и буфера обмена", - сказал исследователь безопасности Дэниел Франк в новом обзоре BianLian.
"Этот инструмент содержит некоторые слова на русском языке, такие как цифры от одного до четырех. Использование такого инструмента указывает на то, что эти две группы, возможно, имели общий набор инструментов или пользовались услугами одних и тех же разработчиков в прошлом".
