El ransomware Kraken es una de las últimas amenazas de virus que están siendo utilizados por los grupos de piratas informáticos contra las víctimas en todo el mundo. Parece ser que la mayoría de ellos son causados por el polvillo radiactivo Exploit Kit que fue utilizado previamente para los ataques de virus GandCrab. Nuestro artículo resume la información conocida hasta ahora.
Fallout Exploit Kit de entrega Kraken ransomware Archivos
El ransomware Kraken se ha convertido en un ejemplo reciente de una amenaza maliciosa que se actualiza constantemente con nuevas características. El hecho de que ha sido adoptado por varios hackers y se extiende alrededor de los foros underground de hackers hace que sea una amenaza muy peligrosa para considerar. En septiembre de expertos de seguridad descubrieron que los hackers han utilizado el Fallout Exploit Kit para difundir los archivos ransomware. Este es el mismo marco que fue utilizado para poner en marcha las últimas versiones de GandCrab. Un nuevo informe de seguridad dice que los desarrolladores originales de virus Kraken se han acercado al kit de Fallout pidiendo su amenaza de ser añadido al marco. Este asociación se ha traducido en la creación de otro método de entrega exitosa.
Después de las interacciones en los foros underground leemos que los anuncios ransomware se hacen en ruso. Esto lleva al experto a creer que los desarrolladores pueden ser de un país de habla rusa. Como efecto del ransomware Kraken y especialmente sus cepas más tarde puede ahora ser categorizado como RaaS (ransomware-as-a-service).
Esto ha llevado a la creación de afiliados ransomware kraken - colectivos de hackers individuales o actores maliciosos que utilizan las cargas previstas. Un porcentaje de los ingresos será compartida con el equipo RaaS a cambio de actualizaciones. Una nota característica de este esquema es que el porcentaje de ganancia asignado a los desarrolladores se ha reducido entre dos de los grandes lanzamientos. Esto se hace con el fin de atraer más afiliados al régimen. Hay ciertos condiciones de entrada que los afiliados potenciales deben cumplir: una forma y una específica $50 pago.
De acuerdo con la descripción ransomware Kraken el malware puede ser utilizado contra las víctimas de ordenador de los siguientes países:
Armenia, Azerbaiyán, Belarús, Estonia, Georgia, Irán, Kazajstán, Kirguistán, Letonia, Lituania,
Moldavia, Rusia, Tayikistán, Turkmenistán, Ucrania y Uzbekistán
En Octubre 21 una segunda versión del Kraken fue puesto en libertad lo que demuestra que la distribución geográfica se amplía considerablemente.
Análisis kraken ransomware: Características distintivas de la infección
A la entrega de la amenaza ransomware los patrones de comportamiento integradas se iniciará tan pronto como sea posible. Una de las versiones detectado se ha encontrado que usar una herramienta de una utilidad de sistema comercial para limpiar eficazmente el sistema y el usuario de datos que hace que la recuperación de archivos significativamente más duro. Una medida adicional tenidos en cuenta por los desarrolladores es un UAC (Control de cuentas del usuario) de derivación que puede superar de forma automática ciertas medidas de seguridad adoptadas por el sistema operativo. El motor principal de la infección también puede ocultarse de software de seguridad al evadir el comportamiento común, esto prácticamente no pasa por las firmas habituales escanean.
Otras acciones incluyen Registro de Windows modificaciones que puedan alterar tanto las cuerdas que pertenecen al sistema operativo y las aplicaciones instaladas. Esto puede causar problemas graves de rendimiento. Además, se han encontrado los comunicados de ransomware Kraken para deshabilitar el acceso al menú de recuperación de arranque. dispositivos infectados se reiniciará una vez 5 acta (300 segundos) después de la activación del motor de la infección.
Una lista completa de todas las características que se encuentran en la última versión del ransomware Kraken es el siguiente:
- Anti-forenses Módulo - Protege el motor malicioso de descubrir los patrones de conducta de los administradores.
- Anti-Reverse Módulo - Evita la ingeniería inversa de las cepas capturados por los analistas.
- Anti-virtualización Módulo - Esta función buscará cualquier hosts de máquina virtual y cerrarlas. Esto se hace en el caso de la cepa se puso en marcha en una máquina virtual.
- Módulo Anti-SMB - no pasa por el SMB para compartir archivos de red medida de seguridad de protocolo.
- Anti-RDP Módulo - Esta función pasará por alto las medidas de seguridad de los servidores de escritorio remoto que son ampliamente utilizados en entornos corporativos.
- Comprobar Módulo país - El motor de ransomware comprobará si la configuración regional coincide con la lista de países infecciones permitido.
- Comprobar teclado Módulo - Este módulo es un complemento de la anterior. Comprueba las disposiciones de teclado seleccionados para adherirse a la lista de infecciones país permitido.
- Registro de control de un módulo - Los controles de virus para la disponibilidad de determinadas entradas del Registro de Windows y procede con la infección si se cumplen las condiciones.
- Módulo de dispositivo Fix - Este procedimiento manipular los dispositivos de almacenamiento extraíbles mediante la creación de ciertos atributos e infectar con el virus.
- Módulo de dispositivo de red - Este módulo se introducirá en los dispositivos de red disponibles en la misma red.
- Módulo dispositivo flash - Cuando esto se ejecuta los dispositivos de almacenamiento extraíbles parpadearán con el ransomware Kraken y / o cargas útiles adicionales.
- Módulo de ampliación de bypass - Este módulo pasará por alto los análisis de seguridad sufridos por los navegadores web y servicios en línea.
- Modo rápido - Un modelo de comportamiento infección ráfaga que lleva a una entrega ransomware significativamente más rápido.
El marco modular utilizado por el Kraken ransomware parece tener un ligero parecido con GandCrab. Esto muestra una clara influencia de la tarde - es posible que los patrones de comportamiento o partes del código fuente se han tomado de ella. Otra hipótesis es que los desarrolladores de estos dos pueden conocerse a través de las comunidades de hackers subterráneos.
Lo que distingue a esta amenaza de otra ransomware similares es que también cuenta con una API de seguimiento. Permite a los operadores de ransomware y afiliados para realizar un seguimiento en tiempo real el número de ordenadores infectados.
Todo esto demuestra que existe un riesgo muy grave de daños después de una infección activa. Los hackers están trabajando activamente en la implementación de nuevas características a ella. Como tal, se recomienda que los usuarios de computadoras Siempre emplean una herramienta anti-malware de confianza.