Die Kraken Ransomware ist eine der neuesten Virenbedrohungen, die weltweit von Hacker-Gruppen gegen Opfer verwendet werden. Es scheint, dass die meisten von ihnen durch den Fallout Exploit Kit verursacht werden, die zuvor für GandCrab Virus-Attacken verwendet wurde. Unser Artikel fasst die bekannten Informationen bisher.
Fallout Exploit Kit liefert Kraken Ransomware-Dateien
Die Kraken Ransomware ist ein aktuelles Beispiel für eine bösartige Bedrohung geworden, die ständig mit neuen Funktionen aktualisiert. Die Tatsache, dass es wird von verschiedenen Hackern übernommen worden und wird rund um die Hacker-Untergrundforen verbreitet macht es eine sehr gefährliche Bedrohung zu betrachten. Im September entdeckte Sicherheitsexperten, dass Hacker nutzen die Fallout-Kit verwendet haben die Erpresser-Dateien zu verbreiten. Dies ist der gleiche Rahmen, die verwendet wurde, um die letzten Versionen von GandCrab zu starten. Ein neuer Sicherheitsbericht liest, dass die ursprünglichen Kraken-Virus-Entwickler haben auf die Fallout-Kit für ihre Bedrohung Rahmen hinzugefügt werden fragt ausstreckte. Dies Partnerschaft hat bei der Schaffung einer weiteren erfolgreichen Lieferung Methode führt.
Im Anschluss an die Wechselwirkungen in den U-Bahn-Foren lesen wir, dass die Ransomware Ankündigungen in russischer Sprache gemacht werden. Dies führt die Experten zu glauben, dass die Entwickler von einem russischsprachigen Land sein können. Als Effekt der Kraken Ransomware und vor allem seine späteren Stämme können nun als RaaS kategorisiert werden (Ransomware-as-a-Service).
Dies hat dazu geführt, zur Schaffung von Kraken Ransomware verbundenen Unternehmen - individuelles Hacking Kollektiv oder böswillige Akteure, die die zur Verfügung gestellten Nutzlasten verwenden. Ein bestimmten Prozentsatz des Einkommens wird mit dem RaaS Team im Austausch für Updates geteilt werden. Ein deutliches Unterscheidungsmerkmal dieser Regelung ist, dass der Gewinn Prozentsatz an die Entwickler zugeordnet ist zwischen zwei der wichtigsten Veröffentlichungen gesenkt. Dies wird getan, um mehr Partner in das System anlocken. Es gibt bestimmte Teilnahmebedingungen dass potenzielle Partner erfüllen müssen: eine spezifische Form und eine $50 Zahlung.
Nach Angaben der Kraken Ransomware Beschreibung kann die Malware aus den folgenden Ländern gegen Computer-Opfer verwendet werden:
Armenien, Aserbaidschan, Weißrussland, Estland, Georgia, Iran, Kasachstan, Kirgisistan, Lettland, Litauen,
Moldawien, Russland, Tadschikistan, Turkmenistan, Ukraine und Usbekistan
Auf Oktober 21 eine zweite Version von Kraken wurde veröffentlicht die zeigten, dass die geografische Verteilung erheblich erweitert wird.
Kraken Ransomware-Analyse: Ausgeprägte Merkmale der Infektion
Bei der Auslieferung von Ransomware Bedrohung der integrierten Verhaltensmuster werden so schnell wie möglich gestartet werden. Einer der erfassten Versionen wurde gefunden, ein Werkzeug aus einem kommerziellen System-Dienstprogramm verwenden, um effektiv sowohl System- als auch Anwenderdaten wischt, die deutlich Wiederherstellung von Dateien erschwert,. Eine zusätzliche Maßnahme Rechnung von den Entwicklern genommen ist eine UAC (Benutzerkontensteuerung) Bypass, die automatisch bestimmte Sicherheitsmaßnahmen getroffen, um das Betriebssystem überwinden. Die Hauptmaschine Infektion kann sich auch von Sicherheitssoftware verstecken, indem das allgemeine Verhalten zu umgehen, dies praktisch umgeht die üblichen Signaturen zu scannen.
Weitere Aktionen sind Windows-Registrierung Modifikationen, die sowohl für das Betriebssystem und alle installierten Anwendungen gehören, die Strings verändern können. Dies kann schwerwiegende Leistungsprobleme verursachen. Darüber hinaus haben die Kraken Ransomware Veröffentlichungen gefunden worden, Zugriff auf das Boot-Recovery-Menü deaktivieren. Infizierte Geräte neu gestartet werden, nachdem 5 Minuten (300 Sekunden) im Anschluss an die Aktivierung des Motors Infektion.
Eine vollständige Liste aller Features in der aktuellen Version der Krake Ransomware gefunden ist die folgende:
- Anti-Forensics-Modul - schützt den bösartigen Motor die Verhaltensmuster von Administratoren aus entdecken.
- Anti-Reverse-Modul - Verhindert, dass das Reverse Engineering der erfassten Stämme von Analysten.
- Anti-Virtualisierungsmodul - Diese Funktion wird für alle Hosts für virtuelle Maschinen suchen und diese herunterfahren. Dies ist im Fall erfolgt die Belastung in einer virtuellen Maschine gestartet wird.
- Anti-SMB-Modul - Umgeht die SMB File-Sharing-Netzwerk-Protokoll-Sicherheitsmaßnahme.
- Anti-RDP-Modul - Diese Funktion wird die Sicherheitsmaßnahmen von Remote-Desktop-Server umgehen, die in Unternehmensumgebungen ist weit verbreitet.
- Land Prüfbaustein - Die Ransomware-Engine prüft, ob die Ländereinstellungen die zulässige Land Infektionen Liste übereinstimmt.
- Tastatur-Check-Modul - Dieses Modul ist eine Ergänzung zu dem oben. Es überprüft die ausgewählten Tastaturlayouts für die Einhaltung der Länderliste erlaubt Infektionen.
- Registry-Check-Modul - Die Virenprüfung ist für die Verfügbarkeit bestimmter Windows-Registry-Einträge und fährt mit der Infektion, wenn die Bedingungen erfüllt sind.
- Fix Device Module - Dieses Verfahren wird die Wechselspeichergeräte manipulieren, indem er bestimmte Attribute einrichten und infizieren sie mit dem Virus.
- Network Device Modul - Dieses Modul wird auf eindringen verfügbare Netzwerkgeräte im gleichen Netzwerk.
- Flash-Device Module - Wenn diese die Wechselspeichergeräte ausgeführt werden mit der Krake Ransomware und / oder zusätzlichen Nutzlasten geflasht werden.
- Verlängerung Bypass-Modul - Dieses Modul wird die Sicherheits-Scans umgehen, indem sie Web-Browser und Online-Dienste erfahren.
- Rapid-Modus - Ein Burst-Infektion Verhaltensmuster, die zu einer deutlich schnelleren Ransomware Lieferung führt.
Der modulare Framework verwendet die Kraken Ransomware erscheint eine leichte Ähnlichkeit mit GandCrab haben. Dies zeigt einen deutlichen Einfluss aus der später - es ist möglich, dass die Verhaltensmuster oder Teile des Quellcodes haben von ihnen genommen worden. Eine andere Hypothese ist, dass die Entwickler dieser beiden einander durch die U-Bahn-Hacking Gemeinden wissen.
Was absetzt diese Bedrohung von anderer ähnlicher Ransomware ist, dass es auch eine Ausstattung Tracking-API. Es ermöglicht die Ransomware Betreiber und Partner in Echtzeit die Anzahl der infizierten Computer zu verfolgen.
All dies zeigt, dass es eine sehr ernste Gefahr einer Schädigung nach einer aktiven Infektion. Hacker arbeitet aktiv an neue Features zu ihrer Umsetzung. Als solcher empfehlen wir, dass Computer-Nutzer immer ein vertrauenswürdiges Anti-Malware-Tool verwenden.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: