Krakenランサムウェアは、世界中の被害者に対してハッカーグループによって使用されている最新のウイルス脅威の1つです。. それらの大部分は、以前にGandCrabウイルス攻撃に使用されたFalloutExploitKitが原因であると思われます。. 私たちの記事はこれまでの既知の情報を要約しています.
フォールアウトエクスプロイトキットがKrakenランサムウェアファイルを配信
Krakenランサムウェアは、新しい機能で絶えず更新される悪意のある脅威の最近の例になっています. さまざまなハッカーに採用され、ハッカーの地下フォーラムに広まっているという事実は、考慮するのが非常に危険な脅威になっています。. 9月、セキュリティの専門家は、ハッカーがランサムウェアファイルを拡散するためにFalloutExploitKitを使用していることを発見しました。. これは、GandCrabの最後のバージョンを起動するために使用されたものと同じフレームワークです。. 新しいセキュリティレポートによると、元のKrakenウイルス開発者はFalloutキットに連絡を取り、脅威をフレームワークに追加するよう求めています。. これ パートナーシップ 別の成功した配信方法の作成につながりました.
アンダーグラウンドフォーラムでのやり取りに続いて、ランサムウェアの発表はロシア語で行われていることを読みました. これにより、専門家は、開発者がロシア語圏の国から来ている可能性があると信じるようになります. 効果として、Krakenランサムウェア、特にその後の株はRaaSとして分類できるようになりました (サービスとしてのランサムウェア).
これはの作成につながっています クラーケンランサムウェアアフィリエイト —提供されたペイロードを使用する個々のハッキング集団または悪意のある攻撃者. 収入の一部は、更新と引き換えにRaaSチームと共有されます. このスキームの明確な特徴は、開発者に割り当てられた利益率が2つのメジャーリリース間で減少したことです。. これは、より多くのアフィリエイトをスキームに引き付けるために行われます. 確かにあります 入場条件 潜在的なアフィリエイトが会わなければならないこと: 特定のフォームと $50 支払い.
Krakenランサムウェアの説明によると、マルウェアは次の国のコンピューター被害者に対して使用される可能性があります:
アルメニア, アゼルバイジャン, ベラルーシ, エストニア, ジョージア, イラン, カザフスタン, キルギスタン, ラトビア, リトアニア,
モルドバ, ロシア, タジキスタン, トルクメニスタン, ウクライナとウズベキスタン
の上 10月 21 Krakenの2番目のバージョンがリリースされました これは、地理的分布が大幅に拡大していることを示しています.
Krakenランサムウェア分析: 感染の明確な特徴
ランサムウェアの脅威が配信されると、組み込みの動作パターンが可能な限り迅速に開始されます. 検出されたバージョンの1つは、商用システムユーティリティのツールを使用して、システムデータとユーザーデータの両方を効果的にワイプし、ファイルの回復を大幅に困難にすることが判明しています。. 開発者が考慮に入れる追加の手段はUACです (ユーザーアカウント制御) オペレーティングシステムによって取られた特定のセキュリティ対策を自動的に克服できるバイパス. メインの感染エンジンは、一般的な動作を回避することで、セキュリティソフトウェアから身を隠すこともできます。, これは、通常の署名スキャンを実質的にバイパスします.
その他のアクションには次のものがあります Windowsレジストリ オペレーティングシステムとインストールされているアプリケーションの両方に属する文字列を変更する可能性のある変更. これにより、重大なパフォーマンスの問題が発生する可能性があります. さらに、Krakenランサムウェアのリリースにより、ブートリカバリメニューへのアクセスが無効になることが判明しています。. 感染したデバイスはその後再起動されます 5 分 (300 秒) 感染エンジンのアクティブ化に続いて.
Krakenランサムウェアの最新バージョンにあるすべての機能の完全なリストは次のとおりです。:
- アンチフォレンジックモジュール —管理者による動作パターンの発見から悪意のあるエンジンを保護します.
- アンチリバースモジュール —分析者による捕捉された菌株のリバースエンジニアリングを防止します.
- アンチ仮想化モジュール —この関数は、仮想マシンホストを検索し、それらをシャットダウンします. これは、ストレインが仮想マシン内で起動された場合に実行されます.
- アンチSMBモジュール —SMBファイル共有ネットワークプロトコルのセキュリティ対策をバイパスします.
- アンチRDPモジュール —この機能は、企業環境で広く使用されているリモートデスクトップサーバーのセキュリティ対策をバイパスします.
- 国別チェックモジュール —ランサムウェアエンジンは、地域の設定が許可された国の感染リストと一致するかどうかを確認します.
- キーボードチェックモジュール —このモジュールは上記の補足です. 選択したキーボードレイアウトをチェックして、許可された感染国リストに準拠しているかどうかを確認します.
- レジストリチェックモジュール —ウイルスは、特定のWindowsレジストリエントリの可用性をチェックし、条件が満たされた場合に感染を続行します.
- デバイスモジュールの修正 —この手順では、特定の属性を設定してウイルスに感染させることにより、リムーバブルストレージデバイスを操作します.
- ネットワークデバイスモジュール —このモジュールは、同じネットワーク内の利用可能なネットワークデバイスに侵入します.
- フラッシュデバイスモジュール —これが実行されると、リムーバブルストレージデバイスはKrakenランサムウェアおよび/または追加のペイロードでフラッシュされます.
- 拡張バイパスモジュール —このモジュールは、Webブラウザおよびオンラインサービスによるセキュリティスキャンをバイパスします.
- ラピッドモード —ランサムウェアの配信を大幅に高速化するバースト感染動作パターン.
Krakenランサムウェアで使用されるモジュラーフレームワークは、GandCrabに少し似ているようです。. これは、後者からの明らかな影響を示しています—動作パターンまたはソースコードの一部がそこから取得された可能性があります. もう1つの仮説は、これら2つの開発者は、地下のハッキングコミュニティを通じてお互いを知っている可能性があるというものです。.
この脅威を他の同様のランサムウェアと区別するのは、 トラッキングAPI. これにより、ランサムウェアのオペレーターとアフィリエイトは、感染したコンピューターの数をリアルタイムで追跡できます。.
これらすべては、活動性感染後の損傷の非常に深刻なリスクがあることを示しています. ハッカーはそれに新しい機能を実装することに積極的に取り組んでいます. そのため、コンピューターユーザーは常に信頼できるマルウェア対策ツールを使用することをお勧めします.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: