Kraken-ransomware har infört en ny benchmarkfas som avgör hur varje drabbad enhet ska krypteras. Den här ändringen ger angriparna ett snabbare och mer adaptivt sätt att slå mot nätverk och försvårar upptäckt för försvarare.
Hur attacken börjar
Kraken-operatörer använder enkla och pålitliga ingångspunkter. De söker efter exponerade SMB-tjänster, svaga RDP-konfigurationer eller sårbara system. De utnyttjar även stulna inloggningar för att ta sig in i interna nätverk. När angriparna kommer in, höjer de sina privilegier, stänger av skydd och förbereder miljön för kryptering.
De rör sig sedan genom nätverket med fjärradministrationsverktyg, tunnlar och automatiserade skript. Målet är att nå kritiska system med tillräckliga rättigheter för att kryptera servrar, arbetsstationer och virtualiserad infrastruktur.
En ny benchmarking-teknik
De senaste Kraken-varianterna innehåller en prestandatest som körs innan kryptering. Skadekoden skapar en temporär fil med slumpmässigt innehåll, krypterar filen, mäter tiden det tar och raderar den direkt efteråt.
Kraken använder sedan resultaten för att välja mellan fullständig och partiell kryptering:
- Snabba system får full kryptering.
- Långsammare system får partiell kryptering för att undvika tydliga prestandafall som kan utlösa larm.
Den här taktiken ökar tillförlitligheten och ger angriparna jämna resultat i olika miljöer.
Mål på både Windows och Linux
Kraken stödjer flera plattformar. På Windows riktar den sig mot SQL-servrar, Hyper-V, nätverksdelningar och mappade enheter. Den stänger processer som kan blockera kryptering och rensar loggar för att minimera spår.
På Linux och VMware ESXi stänger skadekoden aktiva virtuella maskiner och attackerar diskavbildningarna direkt. Masken använder samma benchmarking-logik i dessa miljöer, vilket ger en enhetlig metod oavsett driftplattform.
Varför metoden spelar roll
Benchmarking låter Kraken anpassa varje attack efter systemets kapacitet. Partiell kryptering skapar mindre brus på långsammare maskiner och fördröjer larm. Full kryptering slår till snabbare på kraftfull hårdvara och låser kritiska filer på kort tid.
Angriparna tappar alltså förutsägbara mönster och försvårar automatiserad upptäckt. Ransomwaret ändrar beteende i realtid, vilket komplicerar svarskedjor och säkerhetsverktyg.
Hur organisationer kan försvara sig
Stärk nätverksingångarna
- Kräv stark flerfaktorsautentisering.
- Blockera onödig SMB- och RDP-åtkomst.
- Patcha exponerade tjänster omedelbart.
Förbättra insynen
- Upptäck oväntad skapning av temporära filer.
- Övervaka krypteringsliknande aktivitet på hypervisorer.
- Larma på försök att stänga säkerhetsverktyg.
Skydda backupmiljön
- Använd offline- eller oföränderliga säkerhetskopior.
- Testa återställningar regelbundet.
- Förvara backupdata utanför produktionsnätet.
Segmentera infrastrukturen
- Isolera hypervisor-hostar hårdare.
- Begränsa administrativa behörigheter.
- Övervaka lateral rörelse mellan kritiska system.
Slutsats
Kraken-ransomware använder nu benchmarking för att välja den mest effektiva krypteringsmetoden på varje system. Den här utvecklingen ger angriparna en flexibel och effektiv attackmodell som försvårar upptäckt.
Stark autentisering, segmentering och robusta säkerhetskopior hjälper organisationer att minska skadan från denna ökande och mer adaptiva hotaktör.


0 svar till ”Kraken-ransomware testar systemen före kryptering”