A Cisco Talos, divisão de cibersegurança, descobriu o ransomware Kraken, cuja característica distintiva é seu benchmark integrado — o malware mede o desempenho do sistema para escolher entre criptografia total e parcial dos dados.
Fonte da imagem: Cisco Talos
O Kraken começou a ser implantado no início do ano como uma variante atualizada do HelloKitty, geralmente visando grandes organizações. Há relatos de vítimas nos Estados Unidos, Reino Unido, Canadá, Panamá, Kuwait e Dinamarca. Um ataque do Kraken normalmente começa explorando vulnerabilidades do protocolo SMB em recursos da internet — esse esquema permite que os invasores estabeleçam uma posição inicial. Em seguida, os invasores extraem as credenciais de administrador e as usam para fazer login novamente no sistema via Protocolo de Área de Trabalho Remota (RDP), além de implantar o Cloudflared e o SSHFS: o primeiro para criar um túnel reverso do computador da vítima para o sistema do invasor e o segundo para extrair dados furtivamente por meio de uma pasta remota montada. Usando o Cloudflared e os túneis RDP, os operadores do Kraken navegam pelas redes comprometidas, infiltrando-se em todas as máquinas acessíveis para roubar dados valiosos e preparar os computadores para a implantação do ransomware.
Após receber o comando de criptografia, o Kraken começa executando um teste de desempenho em cada máquina. Isso envolve a criação de um arquivo com dados aleatórios, a criptografia desse arquivo por um período de tempo específico, o cálculo do resultado do teste e, em seguida, a exclusão do arquivo. Com base nesse resultado, o malware determina se os dados serão criptografados total ou parcialmente. O monitoramento de desempenho permite causar o máximo de danos, evitando alertas devido ao uso intensivo de recursos. Antes de iniciar a criptografia, o Kraken exclui as cópias de sombra dos volumes e da Lixeira, além de interromper quaisquer serviços de backup em execução no sistema.
O ataque ao Windows utiliza quatro módulos de criptografia. Instâncias do Microsoft SQL Server são detectadas por meio de chaves de registro e os arquivos de banco de dados são criptografados. Todos os recursos de rede, exceto as pastas de serviço ADMIN$ e IPC$, são percorridos pela API WNet, criptografando tudo o que for acessível. Todas as unidades locais, incluindo as removíveis, são verificadas; para maior eficiência, os dados nelas contidos são criptografados em threads de trabalho paralelas. O PowerShell é usado para detectar todas as máquinas virtuais em execução, interrompê-las à força e criptografar seus arquivos. Para Linux/ESXi, todas as máquinas virtuais em execução também são detectadas, encerradas à força para desbloqueá-las e, em seguida, uma criptografia completa ou parcial multithread é realizada, dependendo dos resultados dos testes de desempenho.
Após a conclusão da criptografia, o script “bye_bye.sh”, gerado automaticamente, exclui todos os logs, o histórico de comandos do console e o executável do Kraken, e então se exclui. Os arquivos criptografados recebem a extensão “.zpsc” e uma nota de resgate chamada “readme_you_ws_hacked.txt” é colocada nas pastas adjacentes. Em um dos casos, o pedido de resgate foi de 1 milhão de dólares em bitcoin.