Le ransomware Kraken est l'une des dernières menaces de virus qui sont utilisés par des groupes de pirates informatiques contre les victimes dans le monde entier. Il semble que la majorité d'entre eux sont causés par le Fallout Exploit Kit qui était auparavant utilisé pour les attaques de virus GandCrab. Notre article résume les informations connues à ce jour.
Fallout Exploit Kit Rend Kraken Ransomware Fichiers
Le ransomware Kraken est devenu un exemple récent d'une menace malveillante qui est constamment mis à jour avec de nouvelles fonctionnalités. Le fait qu'il a été adopté par plusieurs pirates et réparties autour des pirates forums clandestins en fait une menace très dangereuse à considérer. Dans les experts en sécurité ont découvert Septembre que les pirates ont utilisé le Fallout Exploit Kit pour diffuser les fichiers ransomware. Ceci est le même cadre qui a été utilisé pour lancer les dernières versions de GandCrab. Un nouveau rapport de sécurité indique que les développeurs de virus Kraken d'origine ont pris contact avec le kit Fallout demandant leur menace à ajouter au cadre. Ce Partenariat a donné lieu à la création d'un autre mode de livraison réussie.
A la suite des interactions dans les forums souterrains, nous lisons que les annonces sont faites ransomware en russe. Cela conduit l'expert à croire que les développeurs peuvent être d'un pays russophone. En effet le ransomware Kraken et surtout ses souches ultérieures peuvent maintenant être classés comme Raas (ransomware-as-a-service).
Cela a conduit à la création de Kraken affiliés ransomware - les collectifs de piratage individuels ou des acteurs malveillants qui utilisent les charges utiles fournies. Un pourcentage du revenu sera partagé avec l'équipe Raas en échange de mises à jour. Une caractéristique distincte de ce régime est que le pourcentage des bénéfices attribués aux développeurs a été réduite entre deux des versions majeures. Ceci est fait afin d'attirer plus d'affiliés au régime. Il y a certains conditions d'entrée que les affiliés potentiels doivent répondre: une forme spécifique et une $50 Paiement.
Selon la description Kraken ransomware le logiciel malveillant peut être utilisé contre les victimes informatiques des pays suivants:
Arménie, Azerbaïdjan, Belarus, Estonie, Géorgie, Iran, Kazakhstan, Kirghizistan, Lettonie, Lituanie,
Moldova, Russie, Tadjikistan, Turkménistan, L'Ukraine et l'Ouzbékistan
Sur Octobre 21 une deuxième version de Kraken a été libéré qui a montré que la répartition géographique est considérablement élargie.
Kraken Ransomware Analyse: Distinct Caractéristiques de l'infection
Lors de la livraison de la menace ransomware les modèles de comportement intégrés seront mis en chantier le plus rapidement possible. L'une des versions détectées a été trouvé à utiliser un outil à partir d'un utilitaire système commercial pour nettoyer efficacement le système et les données utilisateur qui rend beaucoup plus difficile la récupération de fichiers. Une mesure supplémentaire prise en compte par les développeurs est un contrôle de compte (Contrôle de compte d'utilisateur) by-pass qui peut surmonter automatiquement certaines mesures de sécurité prises par le système d'exploitation. Le principal moteur de l'infection peut aussi se cacher des logiciels de sécurité en éludant le comportement commun, ce court-circuite pratiquement les signatures habituelles scannent.
D'autres actions comprennent Registre de Windows modifications qui peuvent modifier à la fois les chaînes faisant partie du système d'exploitation et toutes les applications installées. Cela peut causer des problèmes graves de performance. En outre, les communiqués de ransomware Kraken ont été trouvés pour désactiver l'accès au menu de récupération de démarrage. appareils infectés seront redémarrés après 5 procès-verbal (300 secondes) suite à l'activation du moteur d'infection.
Une liste complète de toutes les fonctionnalités de la dernière version du ransomware Kraken est le suivant:
- Anti-Forensics Module - Protège le moteur malveillant de découvrir les modèles de comportement par les administrateurs.
- Module anti-retour - Evite l'ingénierie inverse des souches capturées par les analystes.
- Module anti-virtualisation - Cette fonction recherchera tous les hôtes de la machine virtuelle et les fermer. Cela se fait dans le cas où la souche est lancée dans une machine virtuelle.
- Module anti-SMB - Ignore le SMB de partage de fichiers mesure de sécurité du protocole réseau.
- Anti-RDP Module - Cette fonction contourner les mesures de sécurité des serveurs de bureau à distance qui sont largement utilisés dans les environnements d'entreprise.
- Country Check Module - Le moteur ransomware vérifiera si les paramètres régionaux correspond à l'infection de pays a permis la liste.
- Clavier Check Module - Ce module est un complément à ce qui précède. Il vérifie les dispositions de clavier sélectionnés pour adhérer à l'infection permis liste des pays.
- Registre Module Contrôle - Les virus vérifie la disponibilité de certaines entrées du registre Windows et procède à l'infection si les conditions sont réunies.
- Fix module d'appareil - Cette procédure manipuler les périphériques de stockage amovibles en mettant en place certains attributs et les infecter avec le virus.
- Network Device Module - Ce module sur les périphériques intrusion réseau disponibles dans le même réseau.
- Module de périphériques Flash - Lorsque cela est exécuté les périphériques de stockage amovibles seront flashé avec le ransomware Kraken et / ou des charges utiles supplémentaires.
- Module d'extension de dérivation - Ce module contournera les analyses de sécurité subies par les navigateurs Web et des services en ligne.
- mode rapide - Une infection de salve modèle de comportement qui conduit à une livraison plus rapide ransomware significativement.
Le cadre modulaire utilisé par le Kraken ransomware semble avoir une légère ressemblance avec GandCrab. Cela montre une nette influence de la suite - il est possible que les modèles de comportement ou des parties du code source ont été prises de celle-ci. Une autre hypothèse est que les développeurs de ces deux peuvent se connaître à travers les communautés souterraines hacking.
Ce qui distingue cette menace d'autres ransomware similaire est qu'il dispose également d'un API de suivi. Il permet aux opérateurs de ransomware et affiliés de suivre en temps réel le nombre d'ordinateurs infectés.
Tout cela montre qu'il ya un risque très sérieux de dommages suite à une infection active. Les pirates informatiques travaillent activement à la mise en œuvre de nouvelles fonctionnalités pour ce. À ce titre, nous recommandons que les utilisateurs d'ordinateurs utilisent toujours un outil anti-malware de confiance.