RANSOMWARE KASSEIKA MENGGUNAKAN TRIK BYOVD UNTUK MENGAMBIL AHLI KEAMANAN PRA-EKRIPSI

Kelompok ransomware dikenal sebagai Kasseika, telah menjadi hal yang terbaru dalam memanfaatkan serangan Bring Your Own Vulnerable Driver (BYOVD) untuk mengambil ahli proses yang berhubungan dengan keamanan pada host Windows, bergabung dengan kelompok-kelompok lain seperti Akira, AvosLocker, BlackByte, dan RobbinHood. Taktik ini memungkinkan “pelaku ancaman untuk menghentikan proses dan layanan antivirus untuk penyebaran ransomware,” kata Trend Micro dalam sebuah analisis pada hari Selasa.

 

Kasseika, pertama kali ditemukan oleh perusahaan keamanan siber pada pertengahan Desember 2023, menunjukkan tumpang tindih dengan BlackMatter yang sekarang sudah tidak ada lagi, muncul setelah penutupan DarkSide. Ada bukti yang menunjukkan bahwa jenis ransomware tersebut bisa jadi merupakan pelaku yang berpengalaman dalam memperoleh atau membeli akses ke BlackMatter, mengingat kode sumber BlackMatter tidak pernah bocor ke publik setelah kerusakan pada November 2021.

 

Serangan yang melibatkan Kasseika dimulai dengan email phishing untuk akses awal, kemudian menghapus alat administrasi jarak jauh (RAT) untuk mendapatkan akses istimewa dan bergerak secara lateral dalam jaringan target. Pelaku ancaman telah menggunakan utilitas baris perintah Sysinternals PsExec Microsoft untuk mengeksekusi skrip batch berbahaya, yang memeriksa keberadaan proses bernama “Martini.exe”.

 

Tanggung jawab utama eksekutor adalah mengunduh dan menjalankan driver “Martini.sys” dari server jarak jauh untuk menonaktifkan 991 alat keamanan. Perlu dicatat bahwa “Martini.sys” adalah driver sah yang ditandatangani bernama “viragt64.sys” yang telah ditambahkan ke daftar blokir driver yang rentan dari Microsoft. “Jika Martini.sys tidak ada, malware akan menghentikan dirinya sendiri dan tidak melanjutkan rutinitas yang dimaksudkan,” kata para peneliti, yang menunjukkan peran penting dari driver dalam penghindaran pertahanan.  Mengikuti langkah ini, “Martini.exe” meluncurkan muatan ransomware (“smartscreen_protected.exe”), yang menangani proses enkripsi dengan menggunakan algoritma ChaCha20 dan RSA, tetapi sebelumnya mematikan semua proses dan layanan yang mengakses Windows Restart Manager.

 

Sebuah catatan tebusan kemudian dimasukkan di setiap direktori yang telah dienkripsi dan wallpaper komputer dimodifikasi untuk menampilkan catatan yang menuntut pembayaran 50 bitcoin ke alamat dompet dalam waktu 72 jam, atau mengambil risiko membayar tambahan $500.000 setiap 24 jam setelah batas waktu berlalu. Selain itu, para korban diharapkan untuk mengirim tangkapan layar dari pembayaran yang berhasil ke grup Telegram yang dikendalikan oleh pelaku untuk menerima dekripsi.

 

Ransomware Kasseika juga memiliki trik lain, termasuk menghapus jejak aktivitas dengan menghapus log peristiwa sistem menggunakan biner wevtutil.exe. “Perintah wevutil.exe secara efisien menghapus log peristiwa Aplikasi, Keamanan, dan Sistem pada sistem Windows,” kata para peneliti. “Teknik ini digunakan untuk beroperasi secara diam-diam, sehingga lebih menantang bagi perangkat keamanan untuk mengidentifikasi dan merespons aktivitas berbahaya.”

 

Perkembangan ini muncul ketika Palo Alto Networks Unit 42 merinci pergeseran kelompok ransomware BianLian dari skema pemerasan ganda menjadi serangan pemerasan tanpa enkripsi setelah merilis dekripsi gratis pada awal tahun 2023. BianLian telah menjadi kelompok ancaman yang aktif dan lazim sejak September 2022, terutama memilih sektor layanan kesehatan, manufaktur, profesional, serta hukum di AS, Inggris, Kanada, India, Australia, Brasil, Mesir, Prancis, Jerman, dan Spanyol.

 

Kredensial Remote Desktop Protocol (RDP) yang dicuri, keretanan keamanan yang diketahui (misalnya, ProxyShell), dan web shell bertindak sebagai rute serangan yang paling umum serta diadopsi oleh operator BianLian untuk menyusup ke jaringan perusahaan. Terlebih lagi, kelompok kejahatan siber berbagi alat berbasis .NET khusus dengan kelompok ransomware lain yang dilacak sebagai Makop, menunjukkan potensi hubungan antara keduanya.

 

“Alat .NET ini bertanggung jawab untuk mengambil enumerasi file, registri, dan data clipboard,” ujar peneliti keamanan Daniel Frank dalam tinjauan baru tentang BianLian. “Alat ini berisi beberapa kata dalam bahasa Rusia, seperti angka satu sampai empat. Penggunaan alat seperti itu menunjukkan bahwa kedua kelompok itu mungkin pernah berbagi seperangkat alat atau menggunakan layanan dari pengembang yang sama di masa lalu.”

 

Sumber : The Hacker News – Kasseika Ransomware Using BYOVD Trick to Disarm Security Pre-Encryption

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.