O ransomware Kraken, que ataca sistemas Windows, Linux e VMware ESXi, realiza testes nas máquinas infectadas para medir a velocidade de criptografia sem sobrecarregá-las.
Pesquisadores da Cisco Talos destacam que essa funcionalidade é rara: o malware utiliza arquivos temporários para decidir entre criptografar os dados de forma completa ou parcial, conforme o desempenho da máquina.
Surgido no início deste ano como evolução da operação HelloKitty, o Kraken atua com ataques de big-game hunting, combinando roubo de dados e dupla extorsão para pressionar as vítimas.
Nos sites de vazamento do grupo, já foram listadas vítimas nos Estados Unidos, Reino Unido, Canadá, Panamá, Kuwait e Dinamarca.
Segundo a Cisco, elementos presentes no site do Kraken e semelhanças nas notas de resgate indicam ligação direta com o HelloKitty, ransomware que ganhou destaque em 2021 e tentou se reposicionar após o vazamento do seu código-fonte.
Além da operação principal, o Kraken lançou um fórum de cibercrime chamado “The Last Haven Board”, que promete facilitar a comunicação e troca segura entre criminosos.
De acordo com a análise da Cisco, os ataques do Kraken geralmente começam pela exploração de vulnerabilidades SMB em ativos expostos à internet, concedendo acesso inicial ao invasor.
Na sequência, o grupo extrai credenciais administrativas para retomar o acesso via Remote Desktop Protocol (RDP), usando ferramentas como Cloudflared e SSHFS.
O Cloudflared cria um túnel reverso do host da vítima para a infraestrutura do atacante, enquanto o SSHFS permite a exfiltração de dados por meio do acesso a sistemas de arquivos remotos montados.
Utilizando túneis persistentes do Cloudflared e o RDP, os operadores do Kraken movimentam-se lateralmente nas redes comprometidas, acessando o máximo possível de máquinas para roubar dados valiosos e preparar o ambiente para o ransomware.
No momento do comando para criptografia, o malware executa um benchmark de desempenho em cada máquina.
Esse teste inclui a criação de um arquivo temporário com dados aleatórios, a cronometragem da criptografia desse arquivo, o cálculo do resultado e a exclusão do arquivo.
Com base nesse resultado, o Kraken decide realizar criptografia completa ou parcial dos dados.
A Cisco Talos ressalta que essa avaliação permite que o ransomware execute a ação final com rapidez, causando o máximo de dano sem disparar alertas por uso excessivo de recursos.
Antes da criptografia, o Kraken também exclui os volumes shadow, esvazia a Lixeira e interrompe serviços de backup ativos no sistema.
Na versão para Windows, o ransomware conta com quatro módulos de criptografia:
- Banco de dados SQL: identifica instâncias do Microsoft SQL Server pelas chaves de registro, localiza os diretórios dos arquivos de banco de dados, verifica os caminhos e criptografa os arquivos de dados SQL.
- Network share: enumera compartilhamentos de rede acessíveis via APIs WNet, ignorando ADMIN$ e IPC$, e criptografa arquivos em todos os outros compartilhamentos disponíveis.
- Disco local: escaneia todas as letras de unidade disponíveis, incluindo drives removíveis, fixos e remotos, e criptografa seu conteúdo usando múltiplas threads.
- Hyper-V: utiliza comandos PowerShell embutidos para listar máquinas virtuais, obter os caminhos dos discos virtuais, forçar a parada das VMs em execução e criptografar os arquivos desses discos.
A versão para Linux/ESXi também lista e encerra as máquinas virtuais ativas para liberar os arquivos de disco.
Em seguida, realiza criptografia multi-threaded, parcial ou total, usando a mesma lógica de benchmark da versão Windows.
Após concluir a criptografia, o Kraken executa automaticamente um script chamado ‘bye_bye.sh’ que apaga logs, histórico de shell, o binário do ransomware e, por fim, o próprio script.
Os arquivos criptografados recebem a extensão ‘.zpsc’ e uma nota de resgate, intitulada ‘readme_you_ws_hacked.txt’, é deixada nos diretórios afetados.
Em um dos casos analisados, a Cisco registrou uma exigência de resgate de US$ 1 milhão em Bitcoin.
Os indicadores completos de comprometimento (IoCs) relacionados aos ataques do Kraken estão disponíveis neste repositório no GitHub.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...