De Kraken ransomware is een van de nieuwste virussen die wordt door hacker groepen wereldwijd worden gebruikt tegen het slachtoffer. Het lijkt erop dat de meerderheid van hen worden veroorzaakt door de Fallout Exploit Kit die eerder werd gebruikt voor GandCrab virusaanvallen. Ons artikel vat de bekende informatie tot nu toe.
Fallout Exploit Kit Levert Kraken Ransomware Files
De Kraken ransomware is uitgegroeid tot een recent voorbeeld van een kwaadaardige bedreiging die voortdurend wordt bijgewerkt met nieuwe functies. Het feit dat het door verschillende hackers goedgekeurd en wordt verspreid over de hacker underground forums maakt het een zeer gevaarlijke bedreiging te overwegen. In september ontdekte security experts dat hackers gebruik hebben gemaakt van de Fallout Exploit Kit aan de ransomware bestanden te verspreiden. Dit is hetzelfde kader dat werd gebruikt om de laatste versies van GandCrab lanceren. Een nieuwe security rapport luidt dat de oorspronkelijke Kraken virus ontwikkelaars uit hebben bereikt om de Fallout kit te vragen voor hun bedreiging te worden toegevoegd aan het raamwerk. Deze vennootschap heeft geresulteerd in de oprichting van een andere succesvolle oplevering methode.
Naar aanleiding van de interacties in de ondergrondse forums lezen we dat de ransomware aankondigingen worden gedaan in het Russisch. Dit leidt de expert om te geloven dat de ontwikkelaars kan afkomstig zijn van een Russisch-sprekende land. Als het effect van de Kraken ransomware en in het bijzonder de latere stammen kunnen nu worden gecategoriseerd als RAAS (ransomware-as-a-service).
Dit heeft geleid tot de oprichting van Kraken ransomware filialen - individuele hacken collectieven of kwaadaardige actoren die de verstrekte payloads gebruiken. Een percentage van de inkomsten worden gedeeld met het RAAS team in ruil voor updates. Een duidelijk kenmerk van deze regeling is dat de winst percentage aan de ontwikkelaars toegewezen is afgenomen tussen twee van de belangrijkste releases. Dit wordt gedaan om meer filialen om de regeling aan te trekken. Er zijn bepaalde toegangsvoorwaarden dat potentiële partners moeten voldoen: een specifieke vorm en een $50 betaling.
Volgens de Kraken ransomware beschrijving van de malware kan worden gebruikt tegen de computer slachtoffers uit de volgende landen:
Armenië, Azerbeidzjan, Wit-Rusland, Estland, Georgia, Iran, Kazachstan, Kirgizië, Letland, Litouwen,
Moldavië, Rusland, Tadzjikistan, Turkmenistan, Oekraïne en Oezbekistan
Op Oktober 21 een tweede versie van Kraken werd uitgebracht waaruit bleek dat de geografische spreiding aanzienlijk wordt uitgebreid.
Kraken Ransomware Analyse: Verschillende kenmerken van infectie
Bij de levering van de ransomware dreiging de ingebouwde gedragspatronen worden zo snel gestart worden mogelijk. Een van de gedetecteerde versies is gevonden om een instrument te gebruiken van een commercieel systeem gebruiken om effectief te vegen zowel systeem en gebruikersgegevens die bestand herstel aanzienlijk moeilijker maakt. Een aanvullende maatregel door de ontwikkelaars rekening gehouden is een UAC (Gebruikersaccount controle) bypass die automatisch bepaalde veiligheidsmaatregelen door het besturingssysteem kan overwinnen. De belangrijkste infectie motor kan zich ook verbergen van beveiligingssoftware door onttrekken aan de gemeenschappelijke gedrag, Dit omzeilt de gebruikelijke praktijk handtekeningen scannen.
Andere acties omvatten Windows-register modificaties dat zowel de snaren behoren tot het besturingssysteem en alle geïnstalleerde applicaties kunnen veranderen. Dit kan leiden tot ernstige problemen met de prestaties veroorzaken. Naast de Kraken ransomware releases zijn gevonden om de toegang tot het opstartmenu herstel uitschakelen. Geïnfecteerde apparaten wordt opnieuw opgestart na 5 notulen (300 seconden) na activering van de infectie motor.
Een volledige lijst van alle functies in de laatste versie van de Kraken ransomware is het volgende:
- Anti-Forensics Module - Beschermt de kwaadaardige motor van het ontdekken van de gedragspatronen door beheerders.
- Anti-Reverse Module - Voorkomt dat de reverse engineering van de gevangen stammen door analisten.
- Anti-Virtualization Module - Deze functie zal zoeken naar een virtual machine hosts en sloot ze naar beneden. Dit wordt gedaan in het geval dat de stam wordt gelanceerd in een virtuele machine.
- Anti-SMB Module - omzeilt de SMB file-sharing netwerk protocol veiligheidsmaatregel.
- Anti-RDP Module - Deze functie zal de veiligheidsmaatregelen van remote desktop servers die op grote schaal worden gebruikt in zakelijke omgevingen te omzeilen.
- Land Controle Module - De ransomware motor zal controleren of de regionale instellingen overeenkomt met de lijst met toegestane infecties land.
- Keyboard Controle Module - Deze module is een aanvulling op het bovenstaande. Het controleert de geselecteerde toetsenbord lay-outs voor de naleving van de toegestane infecties landenlijst.
- Register Module - Het virus controleert de beschikbaarheid van bepaalde Windows-register vermeldingen en gaat met de infectie als aan de voorwaarden wordt voldaan.
- Fix Device Module - Deze procedure zal de verwijderbare opslagapparaten te manipuleren door het opzetten van bepaalde eigenschappen en infecteren ze met het virus.
- Network Device Module - Deze module zal binnendringen op beschikbare netwerk apparaten in hetzelfde netwerk.
- Flash Device Module - Wanneer deze wordt uitgevoerd de verwijderbare opslagapparaten worden geflitst met Kraken ransomware en / of aanvullende payloads.
- Extension Bypass Module - Deze module zal omzeilen de security scans ondergaan door webbrowsers en online services.
- Rapid Mode - Een uitbarsting infectie gedragspatroon wat leidt tot een aanzienlijk snellere levering ransomware.
De modulaire structuur die door de Kraken ransomware blijkt een lichte gelijkenis met GandCrab hebben. Hieruit blijkt een duidelijke invloed van de later - is het mogelijk dat de gedragspatronen of delen van de broncode genomen daaruit. Een andere hypothese is dat de ontwikkelaars van deze twee elkaar door de ondergrondse hacking communities wete.
Wat onderscheidt deze dreiging van andere soortgelijke ransomware is dat het beschikt ook over een volgen API. Het laat de ransomware operators en filialen op te sporen in real-time het aantal geïnfecteerde computers.
Dit alles toont aan dat er een zeer ernstig risico van schade als gevolg van een actieve infectie. Hackers zijn actief bezig met het implementeren van nieuwe functies om het. Als zodanig raden we aan dat computergebruikers altijd gebruik van een vertrouwde anti-malware gereedschap.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: