Појаву новог типа рансомваре напада открили су истраживачи Тренд Мицро-а, који су га повезали са потенцијално угашеном бандом познатом као БлацкМаттер. Група која стоји иза Кассеика рансомваре-а користи технику која се зове донеси свој рањиви драјвер (БИОВД) како би успешно применила свој рансомвер и избегла антивирусне процесе и услуге.

Пост на блогу Тренд Мицро-а открио је да је Кассеика једна од неколико група које користе овај БИОВД метод напада, док друге групе рансомваре-а Акира, БлацкБите и АвосЛоцкер такође користе сличне тактике. БИОВД искоришћава пропусте у легитимним драјверима уређаја да би извршио рансомваре, добио повећане привилегије и заобишао безбедносне контроле. У случају Кассеика, рансомваре је злоупотребио Мартини драјвер да би прекинуо процесе повезане са антивирусом на зараженим машинама.

Упркос томе што је нови играч на сцени рансомваре-а, чини се да је Кассеика у великој мери позајмио изворни код БлацкМаттер-а. Занимљиво је да назив групе, „кассеика“, на јапанском значи ревитализација, подмлађивање или оживљавање, што сугерише да су можда стекли или купили приступ изворном коду претходно угашеног БлацкМаттер-а од ограничене групе зрелих глумаца.

У недавном нападу који је приметио Тренд Мицро, Кассеика је користио технике пхисхинга да украде акредитиве од запосленог у циљаној компанији, добивши почетни приступ мрежи. Користећи алате за удаљену администрацију (РАТ) за бочно кретање унутар окружења, Кассеика је затим извршио свој терет рансомваре-а злоупотребом легитимног Виндовс РАТ ПсЕкец за даљинско постављање злонамерне .БАТ датотеке.

Да би извршила свој БИОВД напад, група је искористила рањивости у „Мартини.сис” драјверу циљане мреже, онемогућавајући различите безбедносне алате у окружењу. Ако управљачки програм није присутан, малвер ће се сам укинути и неће наставити. Штавише, Кассеика користи технике избегавања да прекине активне процесе који се односе на праћење процеса, праћење система и алате за анализу како би се избегло откривање.

Сам рансомваре Кассеика користи застрашујуће технике замагљивања кода и отклањања грешака, што чини изазовом обрнути инжењеринг бинарних датотека. Откупни софтвер прекида све процесе и услуге које приступају Виндовс Рестарт Манагер-у пре шифровања датотека и испуштања напомене о откупнини у сваком шифрованом директоријуму.

Да би се одбранио од БИОВД сајбер напада попут оних које користе Кассеика и друге групе рансомваре-а, Тренд Мицро препоручује организацијама да ограниче административна права и приступ, да обезбеде редовно ажурирање безбедносних производа и обезбеде редовне резервне копије критичних података. Такође је важно да организације примењују добре праксе безбедности е-поште и веб локација како би спречиле пхисхинг нападе и да едукују запослене о опасностима друштвеног инжењеринга.

На крају крајева, појава Кассеике и њеног иновативног БИОВД напада служи као подсетник на важност одржавања робусних пракси сајбер безбедности суочених са претњама које се развијају. Како сајбер криминалци настављају да се прилагођавају и развијају нове тактике, организације морају остати будне и проактивне у својим напорима да заштите своје податке и системе од злонамерних напада.

Извор линк