Kraken рансомвер тестира системи за оптимален избор на енкрипција

Kraken рансомверот, кој е насочен кон Windows и Linux/VMware ESXi системи, ги тестира машините за да провери колку брзо може да ги шифрира податоците без да ги оптовари.

Според истражувачите од Cisco Talos, оваа функција на Kraken е ретка способност која користи привремени фајлови за да избере помеѓу целосна и делумна енкрипција на податоците.

Kraken рансомверот се појави на почетокот на годината како продолжение на операцијата HelloKitty и изведува напади со „голема игра“ (big-game hunting), крадејќи податоци за двојно изнудавање (double extortion).

На сајтовите за истекување податоци на бандата се наведени жртви од САД, Велика Британија, Канада, Панама, Кувајт и Данска.

Истражувачите од Cisco забележуваат дека различни споменувања на сајтот на Kraken, како и сличностите во пораката за откуп, укажуваат на врски со сега нефункционалниот рансомвер HelloKitty, кој стана познат во 2021 година и се обиде да се ребрендира по истекувањето на својот изворен код.

Покрај операцијата на рансомверот, Kraken исто така лансираше нов форум за сајбер-криминал наречен „The Last Haven Board“ за да овозможи наводно безбедна комуникација и размена.

Ланец на напади на Kraken

Според набљудувањата на Cisco, нападите со Kraken рансомвер обично започнуваат со експлоатација на SMB ранливости на системи со пристап кон интернет, што им овозможува на напаѓачите да добијат првичен пристап.

Потоа, упадачот ги извлекува креденцијалите на администраторските сметки и ги користи за повторно влегување во средината преку Remote Desktop Protocol (RDP) и за поставување на алатките Cloudflared и SSHFS.

Cloudflared се користи за создавање на реверзен тунел од жртвиниот систем назад кон инфраструктурата на напаѓачот, додека SSHFS овозможува извлекување на податоци преку монтирани далечински фајл системи.

Со користење на постојани Cloudflared тунели и RDP, операторите на Kraken се движат низ компромитираните мрежи и се шетаат латерално до сите достапни машини за да украдат вредни податоци и да ги постават основите за распоредување на рансомвер бинарите.

Поставување на режимот на енкрипција

Кога ќе се издаде командата за енкрипција, Kraken ќе изврши тест на перформансите на секоја машина, велат истражувачите.

Процесот вклучува создавање привремен фајл со случајни податоци, негово шифрирање во временски ограничена операција, пресметка на резултатот и потоа бришење на фајлот.

Врз основа на резултатот, енкрипцијата одлучува дали податоците ќе се шифрираат целосно или делумно.

Cisco Talos забележува дека проценувањето на можностите на машината веројатно им овозможува на напаѓачите побрзо да преминат кон последната фаза од нападот и да нанесат максимална штета без да активираат аларми поради интензивна употреба на ресурси.

Пред да ја активира вистинската енкрипција, Kraken ги брише shadow volume-ите и корпата (Recycle Bin) и ги запира сервисите за бекап кои работат на системот.

Cisco објаснува дека Windows верзијата на Kraken содржи четири модули за енкрипција:

1. SQL база на податоци – Ги идентификува Microsoft SQL Server инстанците преку клучеви во регистрацијата, ги лоцира нивните директориуми за бази, ги проверува патеките и ги шифрира SQL датотеките.

2. Мрежни споделени ресурси (Network share) – Ги пребројува достапните network shares преку WNet API, ги игнорира ADMIN$ и IPC$, и ги шифрира датотеките на сите други достапни споделени локации.

3. Локален диск (Local drive) – Ги скенира сите расположливи букви на дискови, ги таргетира преносливите, фиксните и далечинските дискови и ги шифрира нивните содржини со одделни работни нишки.

4. Hyper‑V – Користи вградени PowerShell команди за листа на виртуелни машини, добивање патеки до виртуелните дискови, присилно стопирање на VM-и што работат и шифрирање на поврзаните VM диск‑датотеки.

Linux/ESXi верзијата ги пребројува и насилно ги стопира активните виртуелни машини за да ги отклучи нивните диск‑датотеки, а потоа изведува повеќенишно целосно или делумно шифрирање користејќи ја истата логика за бенчмарка како Windows верзијата.

По завршувањето на енкрипцијата, автоматски генериран скрипт „bye_bye.sh“ се извршува за да ги избрише сите логови, историјата на школката (shell history), Kraken бинарната датотека и на крај самиот скрипт.

Шифрираните датотеки добиваат наставка „.zpsc“, а порака за откуп („readme_you_ws_hacked.txt“) се поставува во погодените директориуми.

Cisco забележува дека во еден случај е регистрирана побарувачка за откуп од 1 милион долари, која требало да се плати во Bitcoin.

Целосните индикатори на компромитација (IoC) поврзани со нападите на Kraken рансомвер се достапни на овој GitHub репозиторум.

Извори:

• Bleeping Computer – Kraken ransomware benchmarks systems for optimal encryption choice Bleeping Computer