Kraken-ransomware har fået en ny benchmarkfase, som bestemmer, hvordan hver maskine skal krypteres. Denne ændring giver angriberne en hurtigere og mere adaptiv metode til at ramme netværk og gør det vanskeligere for forsvarere at opdage angrebet i tide.


Hvordan angrebet starter

Kraken-operatører bruger enkle og velkendte indgangsveje. De scanner efter eksponerede SMB-tjenester, svage RDP-konfigurationer eller systemer uden sikkerhedsopdateringer. De misbruger også stjålne legitimationsoplysninger for at skaffe sig adgang til interne miljøer. Når de kommer ind, eskalerer de privilegier, slår sikkerhedsværktøjer fra og forbereder systemerne på kryptering.

Derefter bevæger angriberne sig gennem netværket med fjernadministrationsværktøjer, tunneler og automatiserede scripts. Målet er at nå de mest kritiske systemer med nok privilegier til at kryptere servere, arbejdsstationer og virtualiserede miljøer.


En ny benchmarking-teknik

De seneste Kraken-varianter indeholder en præstationstest, som kører før krypteringen starter. Skadekoden opretter en midlertidig fil med tilfældigt indhold, krypterer filen, måler hvor lang tid processen tager og sletter filen igen.

Kraken bruger derefter resultaterne til at vælge strategi:

  • Hurtige systemer får fuld kryptering.
  • Langsomme systemer får delvis kryptering for at undgå markante ydelsesfald, som kan udløse alarmer.

Denne tilgang forbedrer angrebets stabilitet og giver ensartede resultater på tværs af forskellige miljøer.


Mål på både Windows og Linux

Kraken understøtter flere platforme. I Windows-miljøer går den efter SQL-servere, Hyper-V, netværksdrev og delte ressourcer. Den lukker processer, der kan blokere kryptering, og rydder hændelseslogge for at skjule spor.

Linux og VMware ESXi stopper malware aktive virtuelle maskiner og angriber diskimages direkte. Den bruger samme benchmarking-logik på begge platforme, hvilket giver en ensartet metode i både fysiske og virtuelle miljøer.


Hvorfor denne metode er vigtig

Benchmarking lader Kraken tilpasse krypteringen efter systemets kapacitet. Delvis kryptering skaber mindre støj på langsomme maskiner og forsinker advarsler. Fuld kryptering slår hårdt på kraftigere systemer og låser kritiske filer langt hurtigere.

Taktikken fjerner forudsigelige mønstre, hvilket gør automatiseret detektion markant sværere. Ransomwaren ændrer sin adfærd i realtid og komplicerer sikkerhedsteamets reaktion.


Sådan kan organisationer beskytte sig

Styrk adgangskontrollen

  • Brug stærk multifaktorgodkendelse.
  • Blokér unødvendig SMB- og RDP-adgang.
  • Patch udsatte tjenester hurtigt.

Forbedr synlighed

  • Detekter mistænkelig oprettelse af midlertidige filer.
  • Overvåg krypteringsrelateret aktivitet på hypervisor-niveau.
  • Reager på forsøg på at deaktivere sikkerhedsværktøjer.

Sikre backupmiljøet

  • Brug offline- eller immutable-backups.
  • Test gendannelsesprocedurer jævnligt.
  • Opbevar backups uden for produktionsmiljøet.

Segmenter infrastrukturen

  • Isolér hypervisor-værter stramt.
  • Begræns administrative rettigheder.
  • Overvåg lateral bevægelse mellem kritiske systemer.

Konklusion

Kraken-ransomware benchmarker nu systemer for at vælge den mest effektive krypteringsmetode. Denne udvikling giver angriberne højere fleksibilitet og gør angrebene sværere at opdage.
Stærk autentificering, solid segmentering og robuste backups hjælper organisationer med at minimere risikoen fra denne hurtigt udviklende trussel.


0 svar til “Kraken-ransomware tester systemer før kryptering”