Kraken ransomware e Fallout Exploit Kit usados ​​para ataques em larga escala

O ransomware Kraken é uma das últimas ameaças de vírus que estão sendo usados ​​por grupos de hackers contra vítimas em todo o mundo. Parece que a maioria deles é causada pelo Fallout Exploit Kit, que era usado anteriormente para ataques de vírus GandCrab. Nosso artigo resume as informações conhecidas até agora.

Fallout Exploit Kit entrega arquivos Kraken Ransomware

O ransomware Kraken se tornou um exemplo recente de uma ameaça mal-intencionada que é constantemente atualizada com novos recursos. O fato de ter sido adotado por vários hackers e estar espalhado pelos fóruns clandestinos de hackers o torna uma ameaça muito perigosa a se considerar. Em setembro, especialistas em segurança descobriram que hackers usaram o Fallout Exploit Kit para espalhar os arquivos de ransomware. Este é o mesmo framework que foi usado para lançar as últimas versões do GandCrab. Um novo relatório de segurança diz que os desenvolvedores originais do vírus Kraken alcançaram o kit Fallout pedindo que sua ameaça seja adicionada à estrutura. este parceria resultou na criação de outro método de entrega bem-sucedido.

Após as interações nos fóruns clandestinos, lemos que os anúncios de ransomware são feitos em russo. Isso leva o especialista a acreditar que os desenvolvedores podem ser de um país de língua russa. Como efeito, o ransomware Kraken e especialmente suas cepas posteriores agora podem ser categorizados como RaaS (ransomware-as-a-service).

Isso levou à criação de Afiliados de ransomware Kraken - coletivos de hackers individuais ou agentes mal-intencionados que usam as cargas úteis fornecidas. Uma porcentagem da receita será compartilhada com a equipe RaaS em troca de atualizações. Uma característica distinta deste esquema é que a porcentagem de lucro alocada aos desenvolvedores diminuiu entre dois dos principais lançamentos. Isso é feito para atrair mais afiliados para o esquema. Existem certas condições de entrada que os afiliados em potencial devem atender: um formulário específico e um $50 Forma de pagamento.

De acordo com a descrição do ransomware Kraken, o malware pode ser usado contra vítimas de computador nos seguintes países:

Armênia, Azerbaijão, Belarus, Estônia, Georgia, Eu corri, Cazaquistão, Quirguistão, Letônia, Lituânia,
Moldova, Rússia, Tajiquistão, Turcomenistão, Ucrânia e Uzbequistão

Em Outubro 21 uma segunda versão do Kraken foi lançada que mostrou que a distribuição geográfica é consideravelmente expandida.

Análise Kraken Ransomware: Características distintas de infecção

Após a entrega da ameaça de ransomware, os padrões de comportamento integrados serão iniciados o mais rápido possível. Descobriu-se que uma das versões detectadas usa uma ferramenta de um utilitário de sistema comercial para limpar efetivamente os dados do sistema e do usuário, o que torna a recuperação de arquivos significativamente mais difícil. Uma medida adicional levada em consideração pelos desenvolvedores é um UAC (Controle de Conta de Usuário) ignorar que pode superar automaticamente certas medidas de segurança tomadas pelo sistema operacional. O principal mecanismo de infecção também pode se ocultar do software de segurança evitando o comportamento comum, isso praticamente ignora a verificação de assinaturas usual.

Outras ações incluem Registro do Windows modificações que podem alterar as strings pertencentes ao sistema operacional e quaisquer aplicativos instalados. Isso pode causar graves problemas de desempenho. Além disso, descobriu-se que as versões de ransomware Kraken desabilitam o acesso ao menu de recuperação de inicialização. Dispositivos infectados serão reiniciados após 5 minutos (300 segundos) após a ativação do mecanismo de infecção.

Uma lista completa de todos os recursos encontrados na versão mais recente do ransomware Kraken é a seguinte:

• Módulo Anti-Forense - Protege o mecanismo malicioso de descobrir os padrões de comportamento dos administradores.
• Módulo anti-reverso - Impede a engenharia reversa das cepas capturadas por analistas.
• Módulo Anti-Virtualização - Esta função irá procurar quaisquer hosts de máquina virtual e desligá-los. Isso é feito caso a cepa seja lançada dentro de uma máquina virtual.
• Módulo Anti-SMB - Ignora a medida de segurança do protocolo de rede de compartilhamento de arquivos SMB.
• Módulo Anti-RDP - Esta função contornará as medidas de segurança de servidores de desktop remotos que são amplamente usados ​​em ambientes corporativos.
• Módulo de verificação de país - O mecanismo de ransomware verificará se as configurações regionais correspondem à lista de infecções de países permitidos.
• Módulo de verificação de teclado - Este módulo é um complemento ao anterior. Ele verifica os layouts de teclado selecionados para aderir à lista de países com infecções permitidas.
• Módulo de verificação de registro - O vírus verifica a disponibilidade de certas entradas do Registro do Windows e prossegue com a infecção se as condições forem atendidas.
• Módulo de dispositivo fixo - Este procedimento irá manipular os dispositivos de armazenamento removíveis, configurando certos atributos e infectando-os com o vírus.
• Módulo de Dispositivo de Rede - Este módulo invadirá os dispositivos de rede disponíveis na mesma rede.
• Módulo de dispositivo flash - Quando isso for executado, os dispositivos de armazenamento removíveis serão atualizados com o ransomware Kraken e / ou cargas adicionais.
• Módulo de Bypass de Extensão - Este módulo contornará as varreduras de segurança realizadas por navegadores da web e serviços online.
• Modo Rápido - Um padrão de comportamento de infecção de explosão que leva a uma entrega de ransomware significativamente mais rápida.

A estrutura modular usada pelo ransomware Kraken parece ter uma ligeira semelhança com o GandCrab. Isso mostra uma clara influência do último - é possível que os padrões de comportamento ou partes do código-fonte tenham sido retirados dele. Outra hipótese é que os desenvolvedores desses dois podem se conhecer por meio das comunidades de hackers clandestinos.

O que diferencia esta ameaça de outro ransomware semelhante é que também apresenta um API de rastreamento. Ele permite que os operadores de ransomware e afiliados rastreiem em tempo real o número de computadores infectados.

Tudo isso mostra que existe um risco muito sério de danos após uma infecção ativa. Os hackers estão trabalhando ativamente na implementação de novos recursos para ele. Como tal, recomendamos que os usuários de computador sempre utilizem uma ferramenta anti-malware confiável.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga: