O ransomware Kraken, que ataca sistemas Windows, Linux e VMware ESXi, realiza testes nas máquinas infectadas para medir a velocidade de criptografia sem sobrecarregá-las.
Pesquisadores da Cisco Talos destacam que essa funcionalidade é rara: o malware utiliza arquivos temporários para decidir entre criptografar os dados de forma completa ou parcial, conforme o desempenho da máquina.
Surgido no início deste ano como evolução da operação HelloKitty, o Kraken atua com ataques de big-game hunting, combinando roubo de dados e dupla extorsão para pressionar as vítimas.
Nos sites de vazamento do grupo, já foram listadas vítimas nos Estados Unidos, Reino Unido, Canadá, Panamá, Kuwait e Dinamarca.
Segundo a Cisco, elementos presentes no site do Kraken e semelhanças nas notas de resgate indicam ligação direta com o HelloKitty, ransomware que ganhou destaque em 2021 e tentou se reposicionar após o vazamento do seu código-fonte.
Além da operação principal, o Kraken lançou um fórum de cibercrime chamado “The Last Haven Board”, que promete facilitar a comunicação e troca segura entre criminosos.
De acordo com a análise da Cisco, os ataques do Kraken geralmente começam pela exploração de vulnerabilidades SMB em ativos expostos à internet, concedendo acesso inicial ao invasor.
Na sequência, o grupo extrai credenciais administrativas para retomar o acesso via Remote Desktop Protocol (RDP), usando ferramentas como Cloudflared e SSHFS.
O Cloudflared cria um túnel reverso do host da vítima para a infraestrutura do atacante, enquanto o SSHFS permite a exfiltração de dados por meio do acesso a sistemas de arquivos remotos montados.
Utilizando túneis persistentes do Cloudflared e o RDP, os operadores do Kraken movimentam-se lateralmente nas redes comprometidas, acessando o máximo possível de máquinas para roubar dados valiosos e preparar o ambiente para o ransomware.
No momento do comando para criptografia, o malware executa um benchmark de desempenho em cada máquina.
Esse teste inclui a criação de um arquivo temporário com dados aleatórios, a cronometragem da criptografia desse arquivo, o cálculo do resultado e a exclusão do arquivo.
Com base nesse resultado, o Kraken decide realizar criptografia completa ou parcial dos dados.
A Cisco Talos ressalta que essa avaliação permite que o ransomware execute a ação final com rapidez, causando o máximo de dano sem disparar alertas por uso excessivo de recursos.
Antes da criptografia, o Kraken também exclui os volumes shadow, esvazia a Lixeira e interrompe serviços de backup ativos no sistema.
Na versão para Windows, o ransomware conta com quatro módulos de criptografia:
- Banco de dados SQL: identifica instâncias do Microsoft SQL Server pelas chaves de registro, localiza os diretórios dos arquivos de banco de dados, verifica os caminhos e criptografa os arquivos de dados SQL.
- Network share: enumera compartilhamentos de rede acessíveis via APIs WNet, ignorando ADMIN$ e IPC$, e criptografa arquivos em todos os outros compartilhamentos disponíveis.
- Disco local: escaneia todas as letras de unidade disponíveis, incluindo drives removíveis, fixos e remotos, e criptografa seu conteúdo usando múltiplas threads.
- Hyper-V: utiliza comandos PowerShell embutidos para listar máquinas virtuais, obter os caminhos dos discos virtuais, forçar a parada das VMs em execução e criptografar os arquivos desses discos.
A versão para Linux/ESXi também lista e encerra as máquinas virtuais ativas para liberar os arquivos de disco.
Em seguida, realiza criptografia multi-threaded, parcial ou total, usando a mesma lógica de benchmark da versão Windows.
Após concluir a criptografia, o Kraken executa automaticamente um script chamado ‘bye_bye.sh’ que apaga logs, histórico de shell, o binário do ransomware e, por fim, o próprio script.
Os arquivos criptografados recebem a extensão ‘.zpsc’ e uma nota de resgate, intitulada ‘readme_you_ws_hacked.txt’, é deixada nos diretórios afetados.
Em um dos casos analisados, a Cisco registrou uma exigência de resgate de US$ 1 milhão em Bitcoin.
Os indicadores completos de comprometimento (IoCs) relacionados aos ataques do Kraken estão disponíveis neste repositório no GitHub.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...