Den Kraken ransomware er en af de nyeste virus trusler, der bliver brugt af hacker grupper imod ofrene på verdensplan. Det fremgår, at de fleste af dem er forårsaget gennem Fallout Exploit Kit, der tidligere blev brugt til GandCrab virusangreb. Vores artikel opsummerer kendte oplysninger hidtil.
Fallout Exploit Kit Leverer Kraken Ransomware filer
Den Kraken ransomware er blevet et nyligt eksempel på en ondsindet trussel, der konstant opdateres med nye funktioner. Det faktum, at det er blevet vedtaget af forskellige hackere og er spredt rundt om hacker underjordiske fora gør det en meget farlig trussel mod overveje. I september opdagede sikkerhedseksperter, at hackere har brugt Fallout Exploit Kit til at sprede de ransomware filer. Det er den samme ramme, som blev brugt til at lancere de sidste versioner af GandCrab. En ny sikkerhedsrapport læser, at de oprindelige Kraken virus udviklere har nået ud til Fallout-kit beder om deres trussel der skal lægges til rammen. Dette partnerskab har resulteret i oprettelsen af endnu et vellykket leveringsmetode.
Efter interaktioner i de underjordiske fora vi læse, at de ransomware meddelelser er på russisk. Dette fører eksperten til at tro, at udviklerne kan være fra en russisk-talende land. Som en virkning Kraken ransomware og især dens senere stammer kan nu kategoriseres som RAAS (ransomware-as-a-service).
Dette har ført til oprettelsen af Kraken ransomware søsterselskaber - individuelle hacking kollektiver eller ondsindede aktører, der bruger de leverede nyttelast. En procentdel af indkomsten vil blive delt med RAAS hold i bytte for opdateringer. En distinkt egenskab ved denne ordning er, at den procentvise fordeles resultatet udviklerne er faldet mellem to af de store udgivelser. Dette gøres for at tiltrække flere søsterselskaber til ordningen. Der er visse indrejsebetingelser at potentielle søsterselskaber skal opfylde: en særlig form og en $50 betaling.
Ifølge Kraken ransomware beskrivelse malwaren kan bruges mod ofrene computer fra følgende lande:
Armenien, Aserbajdsjan, Hviderusland, Estland, Georgien, Iran, Kasakhstan, Kirgisistan, Letland, Litauen,
Moldova, Rusland, Tadsjikistan, Turkmenistan, Ukraine og Usbekistan
På Oktober 21 en anden version af Kraken blev frigivet som viste, at den geografiske fordeling betydeligt ekspanderes.
Kraken Ransomware Analyse: Tydelige Karakteristik af infektion
Ved levering af ransomware trussel de indbyggede adfærdsmønstre vil blive startet så hurtigt som muligt. En af de fundne versioner har vist sig at bruge et værktøj fra et kommercielt system hjælpeprogram til effektivt at tørre både systemet og bruger data, som gør fil opsving betydeligt hårdere. En ekstra foranstaltning tages i betragtning af udviklerne er en UAC (User Account Control) bypass, som automatisk kan overvinde visse sikkerhedsforanstaltninger, der træffes af operativsystemet. Den vigtigste infektion motor kan også skjule sig fra sikkerhedssoftware ved at unddrage sig den fælles adfærd, dette praktisk omgår de sædvanlige signaturer scanner.
Andre foranstaltninger omfatter Registry Windows modifikationer, der kan ændre både strengene tilhører operativsystemet og eventuelle installerede applikationer. Dette kan forårsage alvorlige problemer ydeevne. Derudover er der fundet Kraken ransomware udgivelser hindre adgangen til menuen boot opsving. Inficerede enheder vil blive genstartet efter 5 minutter (300 sekunder) efter aktivering af infektionen motor.
En komplet liste over alle funktioner, der findes i den seneste version af Kraken ransomware er følgende:
- Anti-Forensics Modul - Beskytter ondsindede motor fra at opdage de adfærdsmønstre af administratorer.
- Anti-Reverse-modul - forhindrer reverse engineering af tilfangetagne stammer ved analytikerne.
- Anti-virtualisering modul - Denne funktion vil søge efter alle virtuelle maskiner værter og lukke dem ned. Dette gøres i tilfælde af stammen er lanceret inde i en virtuel maskine.
- Anti-SMB-modul - Tilsidesætter SMB fildeling netværksprotokol sikkerhedsforanstaltning.
- Anti-RDP-modul - Denne funktion vil omgå sikkerhedsforanstaltninger for remote desktop-servere, der er almindeligt anvendt i virksomhedsmiljøer.
- Land Check Modul - Den ransomware motor vil kontrollere, om de regionale indstillinger matcher den tilladte landets infektioner liste.
- Tastatur Check Modul - Dette modul er en supplerende til ovenstående. Det kontrollerer de valgte tastaturlayout for fastholdelsen af den tilladte infektioner landelisten.
- Registry Check Modul - Den kontrol virus for adgang til visse Windows registreringsdatabasen og udbytte med infektion, hvis betingelserne er opfyldt.
- Fix Device Module - Denne procedure vil manipulere flytbare lagerenheder ved at oprette visse egenskaber og inficere dem med virus.
- Netværksenhed Modul - Dette modul vil trænge ind på tilgængelige netværksenheder i samme netværk.
- Flash Device Module - Når dette udføres de flytbare lagermedier vil blive flashed med Kraken ransomware og / eller yderligere nyttelast.
- Udvidelse Bypass Modul - Dette modul vil omgå sikkerhedsscanninger gennemgået af webbrowsere og online-tjenester.
- Hurtig tilstand - En burst infektion adfærdsmønster, som fører til en betydelig hurtigere ransomware levering.
Det modulære rammer bruges af Kraken ransomware synes at have en svag lighed med GandCrab. Dette viser en klar indflydelse fra den senere - er det muligt, at de adfærdsmønstre eller dele af kildekoden er taget fra det. En anden hypotese er, at udviklerne af disse to kan kende hinanden gennem de underjordiske hacking samfund.
Hvad der adskiller denne trussel fra andre lignende ransomware er, at det også har en sporing API. Det gør det muligt for ransomware operatører og søsterselskaber til at spore i realtid antallet af inficerede computere.
Alt dette viser, at der er en meget alvorlig risiko for skader som følge af en aktiv infektion. Hackere arbejder aktivt på at implementere nye funktioner til det. Som sådan anbefaler vi, at computerbrugere altid ansætte en betroet anti-malware værktøj.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: