Kraken-Ransomware hat eine neue Benchmark-Phase eingeführt, die entscheidet, wie jedes kompromittierte System verschlüsselt wird. Diese Änderung gibt den Angreifern eine schnellere und flexibel anpassbare Methode, Netzwerke zu schädigen, und erschwert gleichzeitig die Erkennung für Verteidiger.
Wie der Angriff beginnt
Kraken-Operatoren nutzen einfache und bewährte Einstiegspunkte. Sie scannen nach offenen SMB-Diensten, schwachen RDP-Konfigurationen oder ungepatchten Systemen. Sie missbrauchen außerdem gestohlene Zugangsdaten, um in interne Netzwerke einzudringen. Sobald sie Zugriff erhalten, erhöhen sie ihre Rechte, deaktivieren Sicherheitslösungen und bereiten das System auf die Verschlüsselung vor.
Anschließend bewegen sich die Angreifer mithilfe von Remote-Tools, Tunneln und automatisierten Skripten durch das Netzwerk. Ihr Ziel ist, kritische Systeme mit genügend Berechtigungen zu erreichen, um Server, Workstations und virtualisierte Umgebungen zu verschlüsseln.
Eine neue Benchmarking-Technik
Die neuesten Kraken-Varianten enthalten eine Leistungsprüfung, die ausgeführt wird, bevor die Verschlüsselung startet. Die Malware erstellt eine temporäre Datei mit zufälligem Inhalt, verschlüsselt sie, misst die benötigte Zeit und löscht die Datei sofort danach.
Kraken nutzt diese Daten, um eine der beiden Methoden zu wählen:
- Leistungsstarke Systeme erhalten eine vollständige Verschlüsselung.
- Langsamere Systeme erhalten eine teilweise Verschlüsselung, um auffällige Leistungseinbrüche zu vermeiden, die Alarme auslösen könnten.
Dieser Ansatz erhöht die Zuverlässigkeit und sorgt für konsistente Ergebnisse in heterogenen Umgebungen.
Ziele unter Windows und Linux
Kraken unterstützt mehrere Plattformen. In Windows-Umgebungen zielt die Malware auf SQL-Server, Hyper-V-Hosts, Netzlaufwerke und freigegebene Ressourcen. Sie beendet Prozesse, die die Verschlüsselung blockieren könnten, und löscht Ereignisprotokolle, um Spuren zu verwischen.
Auf Linux– und VMware ESXi-Systemen stoppt Kraken laufende virtuelle Maschinen und greift anschließend direkt die zugehörigen Festplattenabbilder an. Die Malware verwendet dieselbe Benchmarking-Logik, was eine einheitliche Methode über physische und virtuelle Umgebungen hinweg ermöglicht.
Warum die Methode wichtig ist
Benchmarking ermöglicht es Kraken, jede Verschlüsselung an die Leistungsfähigkeit des Systems anzupassen. Teilverschlüsselung reduziert auffällige Aktivitäten auf langsamen Systemen und verzögert Meldungen. Vollverschlüsselung schlägt hingegen auf leistungsstarken Systemen schnell und effektiv zu.
Die Ransomware beseitigt damit vorhersehbare Muster und erschwert automatisierte Erkennung. Kraken ändert sein Verhalten in Echtzeit, was Überwachung und Reaktionsprozesse komplexer macht.
Wie Organisationen sich schützen können
Einstiegspunkte absichern
- Starke Multi-Faktor-Authentifizierung verwenden.
- Unnötigen SMB- und RDP-Zugang blockieren.
- Exponierte Dienste schnell patchen.
Sichtbarkeit verbessern
- Ungewöhnliche Erstellung temporärer Dateien erkennen.
- Aktivitäten mit Verschlüsselungscharakter auf Hypervisor-Ebene überwachen.
- Alarmieren, wenn Sicherheitsprozesse gezielt beendet werden.
Backups schützen
- Offline- oder unveränderbare Backups einsetzen.
- Wiederherstellungsprozesse regelmäßig testen.
- Wiederherstellungsdaten außerhalb des Produktionsnetzes lagern.
Infrastruktur segmentieren
- Hypervisor-Hosts streng isolieren.
- Administrative Zugänge stark begrenzen.
- Laterale Bewegungen zwischen kritischen Systemen überwachen.
Fazit
Kraken-Ransomware führt nun Benchmarking durch, um die effektivste Verschlüsselungsmethode pro System zu wählen. Dieser technologische Sprung gibt Angreifern eine flexiblere und effizientere Strategie und erschwert Verteidigern die Detektion deutlich.
Starke Authentifizierung, konsequente Segmentierung und robuste Backup-Strategien helfen Organisationen, die Auswirkungen dieser zunehmend adaptiven Bedrohung zu reduzieren.


0 Kommentare zu „Kraken-ransomware tester systemer før kryptering“