Kraken ransomware e Fallout Exploit Kit usati in attacchi su larga scala

Il ransomware Kraken è uno dei virus più recenti che vengono utilizzati da gruppi di hacker contro le vittime in tutto il mondo. Sembra che la maggior parte di essi sono causati tramite l'Fallout Exploit Kit che è stato in precedenza utilizzato per attacchi di virus GandCrab. Il nostro articolo riassume le informazioni note finora.

Fallout Exploit Kit Offre Kraken ransomware Files

Il ransomware Kraken è diventato un esempio recente di una minaccia dannoso che viene costantemente aggiornato con nuove funzionalità. Il fatto che è stato adottato da vari hacker ed è diffuso in tutto l'hacker forum underground lo rende una minaccia molto pericolosa da considerare. Nel mese di settembre gli esperti di sicurezza hanno scoperto che gli hacker hanno utilizzato la Fallout Exploit Kit per diffondere i file ransomware. Questo è lo stesso quadro che è stato utilizzato per lanciare le ultime versioni di GandCrab. Un nuovo rapporto di sicurezza si legge che gli sviluppatori di virus originale Kraken hanno raggiunto fuori al kit Fallout chiedendo loro minaccia da aggiungere al quadro. Questo associazione ha portato alla creazione di un altro metodo di consegna di successo.

A seguito delle interazioni nelle forum underground leggiamo che gli annunci ransomware sono realizzati in russo. Questo porta l'esperto a credere che gli sviluppatori possono essere da un paese di lingua russa. Per effetto del ransomware Kraken e soprattutto le sue deformazioni successive può essere classificato come RaaS (ransomware-as-a-service).

Questo ha portato alla creazione di affiliati ransomware Kraken - individuali collettivi di hacking o attori dannosi che utilizzano i carichi previsti. Una percentuale del reddito sarà condiviso con il team RaaS in cambio di aggiornamenti. Una caratteristica distintiva di questo schema è che la percentuale utile destinata agli sviluppatori è stata diminuita tra due delle principali versioni. Questo viene fatto al fine di attrarre più affiliati al regime. Ci sono certi condizioni d'ingresso che i potenziali affiliati devono soddisfare: una forma e una specifica $50 Pagamento.

Secondo il Kraken descrizione ransomware il malware può essere usato contro le vittime del computer dai seguenti paesi:

Armenia, Azerbaijan, Bielorussia, Estonia, Georgia, Iran, Kazakhstan, Kyrgyzstan, Lettonia, Lituania,
Moldova, Russia, Tajikistan, Turkmenistan, Ucraina e Uzbekistan

Su Ottobre 21 una seconda versione del Kraken è stato rilasciato che ha dimostrato che la distribuzione geografica è notevolmente espansa.

Analisi Kraken ransomware: Caratteristiche distinte di infezione

Al momento della consegna della minaccia ransomware i modelli di comportamento predefiniti verranno avviati il ​​più rapidamente possibile. Una delle versioni rilevati è stato trovato ad utilizzare uno strumento da un'utility di sistema commerciale per pulire efficacemente sia i dati di sistema e utente che rende notevolmente più difficile il recupero di file. Una misura supplementare presa in considerazione dagli sviluppatori è un UAC (Controllo dell'account utente) by-pass in grado di superare automaticamente determinate misure di sicurezza adottate dal sistema operativo. Il motore principale di infezione può anche nascondersi dal software di sicurezza per eludere il comportamento comune, questo bypassa praticamente scansione le solite firme.

Altre azioni includono Registro di Windows modificazioni che possono alterare sia stringhe appartenenti al sistema operativo e le applicazioni installate. Ciò può causare problemi di prestazioni gravi. Inoltre le uscite ransomware Kraken sono stati trovati per disabilitare l'accesso al menu di avvio di recupero. dispositivi infetti verranno riavviati dopo 5 verbale (300 secondi) a seguito dell'attivazione del motore infezione.

Un elenco completo di tutte le caratteristiche che si trovano nella sua ultima versione del ransomware Kraken è il seguente:

• Anti-Forensics Module - Protegge il motore dannoso da scoprire i modelli di comportamento da parte degli amministratori.
• Anti-Reverse Module - Impedisce la reverse engineering dei ceppi catturati dagli analisti.
• Anti-virtualizzazione Module - Questa funzione cercherà qualsiasi host di macchine virtuali e farli chiudere. Questo viene fatto nel caso in cui il ceppo è lanciato all'interno di una macchina virtuale.
• Modulo Anti-SMB - bypassa la rete di file-sharing misura di sicurezza protocollo SMB.
• Anti-RDP Module - Questa funzione bypassare le misure di sicurezza dei server di desktop remoto che sono ampiamente usati in ambienti aziendali.
• Paese Controllare il modulo - Il motore di ransomware controllerà se le impostazioni internazionali corrisponde all'elenco infezioni paese permesso.
• Tastiera Verifica Modulo - Questo modulo è un complementare a quanto sopra. Esso controlla i layout di tastiera selezionati per aderire alla lista infezioni Paese permesso.
• Registro di Controllo Modulo - I controlli dei virus per la disponibilità di alcune voci del registro di Windows e procede con l'infezione se sono soddisfatte le condizioni.
• Module Device correzione - Questa procedura manipolare i dispositivi di archiviazione rimovibili attraverso la creazione di determinati attributi e li infetta con il virus.
• Module Device rete - Questo modulo intrusione sui dispositivi di rete disponibili nella stessa rete.
• Module Device Flash - Quando questo viene eseguito i dispositivi di memorizzazione rimovibili lampeggerà con il ransomware Kraken e / o carichi utili addizionali.
• Estensione Modulo Bypass - Questo modulo consentirà di bypassare le scansioni di sicurezza subite dai browser web e servizi online.
• Modalità Rapid - un modello di comportamento infezione scoppio che porta ad una consegna ransomware significativamente più rapido.

La struttura modulare utilizzato dal Kraken ransomware sembra avere una certa somiglianza con GandCrab. Questo mostra una chiara influenza dal dopo - è possibile che i modelli di comportamento o parti del codice sorgente sono state prese da esso. Un'altra ipotesi è che gli sviluppatori di questi due possono conoscersi attraverso le comunità di hacking sotterranee.

Ciò che distingue questa minaccia da altri ransomware simile è che è dotato anche di un monitoraggio API. Esso consente agli operatori ransomware e affiliati per monitorare in tempo reale il numero di computer infetti.

Tutto questo dimostra che v'è un grave rischio di danno dopo un'infezione attiva. Hacker stanno lavorando attivamente l'implementazione di nuove funzionalità ad esso. Come tale si raccomanda agli utenti di computer utilizzano sempre un fidato strumento anti-malware.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi: