- Ransomware Kraken mengukur kinerja sistem sebelum menentukan tingkat kerusakan enkripsi.
- Salinan bayangan, keranjang sampah, dan cadangan akan dihapus sebelum enkripsi dimulai
- Sistem Windows, Linux, dan ESXi semuanya terkena serangan berbasis benchmark Kraken
Kampanye ransomware Kraken memperkenalkan langkah patokan yang menghitung waktu enkripsi file sementara untuk menentukan seberapa cepat file tersebut dapat mengenkripsi data korban.
Para peneliti di Cisco Talos menemukan bahwa malware tersebut membuat file data acak, mengenkripsinya, mencatat pergerakan, dan menghapus file pengujian.
Hasilnya memandu peretas untuk memilih antara enkripsi penuh dan akses parsial yang tetap merusak file sambil menghindari beban sistem berlebihan yang dapat mengekspos aktivitas mereka.
Menargetkan aset-aset utama perusahaan
Dalam laporan mereka, para peneliti menjelaskan bagaimana Kraken mempersiapkan setiap lingkungan yang disusupi dengan menghapus salinan bayangan, mengosongkan recycle bin, dan menonaktifkan layanan cadangan.
Versi Windows mencakup empat modul terpisah yang dirancang untuk mencari dan mengenkripsi database SQL, berbagi jaringan, drive lokal, dan mesin virtual Hyper-V.
Modul-modul ini memverifikasi jalur, memblokir mesin virtual yang aktif, dan menerapkan enkripsi dengan beberapa thread pekerja untuk meningkatkan cakupan.
Edisi Linux dan ESXi mematikan mesin virtual yang berjalan untuk membuka kunci disk mereka dan menerapkan logika berbasis benchmark yang sama sebelum mengenkripsi data di host.
Setelah fase enkripsi selesai, ransomware menjalankan skrip yang membersihkan log, menghapus riwayat shell, menghapus biner, dan menghancurkan bukti operasi.
File-file tersebut menerima ekstensi .zpsc, dan catatan tebusan berjudul readme_you_ws_hacked.txt muncul di lokasi yang terpengaruh.
Cisco melaporkan kasus di mana penyerang meminta $1 juta dalam bentuk Bitcoin, dan token yang relevan dari kompromi tersebut dicatat dalam repositori publik.
Kraken tampaknya memiliki karakteristik operasional yang sama dengan kelompok ransomware HelloKitty sebelumnya, karena kedua kelompok tersebut menggunakan nama file catatan tebusan yang serupa dan merujuk satu sama lain di situs kebocoran.
Para peretas di balik Kraken juga mengumumkan forum bawah tanah baru bernama The Last Haven Board, yang mengklaim menawarkan saluran komunikasi yang aman dalam ekosistem kejahatan dunia maya.
Dalam kasus yang terdokumentasi, penyerang memperoleh akses awal dengan mengeksploitasi layanan UKM rentan yang terekspos ke Internet, mengambil kredensial administrator, dan memasuki kembali lingkungan menggunakan Remote Desktop.
Kontinuitas dipertahankan melalui terowongan CloudFlare, dan SSHFS digunakan untuk berpindah melalui jaringan dan mengekstrak data.
Para penyerang kemudian menyebarkan biner Kraken dan menggunakan kredensial yang dicuri untuk menyebar ke sistem tambahan.
Agar tetap aman dari ancaman seperti Kraken memerlukan pendekatan yang konsisten untuk membatasi paparan dan memitigasi potensi kerusakan, sehingga organisasi harus mempertahankan perlindungan ransomware yang kuat, memastikan bahwa pencadangan, kontrol akses, dan segmentasi jaringan diterapkan dan dipantau dengan benar.
Selalu memperbarui perangkat lunak antivirus membantu mendeteksi file berbahaya sebelum menyebar, sementara alat penghapus malware biasa membersihkan sisa-sisa gangguan.
Membatasi layanan yang terhubung ke Internet, menambal kerentanan, dan menerapkan otentikasi yang kuat mengurangi peluang bagi penyerang.
Ikuti TechRadar di Google Berita Dan Tambahkan kami sebagai sumber daya pilihan Untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok Dapatkan berita, review, unboxing dalam bentuk video, dan update rutin dari kami Ada apa Juga
