Prima di procedere
L'unità Cisco Talos, specializzata in sicurezza informatica, ha identificato un nuovo e sofisticato ransomware chiamato Kraken. La sua particolarità risiede in un sistema di benchmark integrato: il malware esegue una valutazione delle prestazioni del sistema vittima per decidere se procedere con una crittografia completa o parziale dei dati.
Kraken ha iniziato a diffondersi all'inizio di quest'anno come una versione evoluta di HelloKitty. Solitamente, le sue vittime sono grandi organizzazioni situate in diverse nazioni tra cui Stati Uniti, Regno Unito, Canada, Panama, Kuwait e Danimarca. L'attacco di Kraken inizia sfruttando le vulnerabilità del protocollo SMB presenti nelle risorse internet, una tattica che permette ai criminali informatici di stabilire un punto d'appoggio iniziale. Successivamente, gli attaccanti estraggono le credenziali di amministratore e le riutilizzano per accedere nuovamente al sistema tramite il protocollo RDP (Remote Desktop Protocol), implementando anche strumenti come Cloudflared e SSHFS. Cloudflared serve a creare un tunnel inverso dal computer della vittima al sistema dell'aggressore, mentre SSHFS consente l'esfiltrazione silenziosa dei dati attraverso una cartella remota montata.
Sfruttando i tunnel Cloudflared e RDP, gli operatori di Kraken si muovono all'interno delle reti compromesse, infiltrandosi in tutte le macchine accessibili per sottrarre dati sensibili e preparare i computer per la diffusione del ransomware. Una volta ricevuto il comando di crittografia, Kraken inizia eseguendo un test di performance su ogni macchina. Questo test prevede la creazione di un file contenente dati casuali, la sua crittografia per un periodo di tempo determinato, il calcolo del risultato del test e, infine, la cancellazione del file. Sulla base di questo risultato, il malware decide se crittografare i dati completamente o parzialmente. Questo controllo delle prestazioni permette di massimizzare i danni e, al contempo, evitare allarmi dovuti all'eccessivo utilizzo delle risorse del sistema.
Prima di avviare la crittografia, Kraken elimina le copie shadow dei volumi e svuota il cestino, interrompendo anche i servizi di backup attivi nel sistema. Nell'attacco a sistemi Windows, vengono utilizzati quattro moduli di crittografia. Attraverso le chiavi di registro, vengono identificati gli elementi di Microsoft SQL Server e i file di database vengono crittografati. Tramite l'API WNet, viene effettuata una scansione di tutte le risorse di rete, ad eccezione delle cartelle di sistema ADMIN$ e IPC$, crittografando tutto ciò che risulta accessibile. Vengono scansionati tutti i dischi locali, inclusi quelli rimovibili, e i dati su questi dischi vengono crittografati in parallelo per velocizzare il processo. Utilizzando PowerShell, vengono individuate tutte le macchine virtuali in esecuzione, che vengono arrestate forzatamente per poi crittografarne i file. In ambienti Linux/ESXi, vengono ugualmente identificate tutte le macchine virtuali attive, la cui operatività viene interrotta per sbloccarle, procedendo poi con una crittografia completa o parziale, a seconda dei risultati del benchmark.
Al termine della crittografia, uno script generato automaticamente, denominato "bye_bye.sh", elimina tutti i log, la cronologia dei comandi nella console, il file eseguibile di Kraken e, infine, si auto-cancella. I file crittografati ricevono l'estensione ".zpsc", e nelle cartelle adiacenti viene inserito un file di testo con la richiesta di riscatto, chiamato "readme_you_ws_hacked.txt". In uno dei casi documentati, l'ammontare del riscatto richiesto ammontava a 1 milione di dollari in Bitcoin.
