Kraken ransomware, Windows ve Linux/VMware ESXi sistemlerini hedef alarak, makineleri veri şifreleme hızlarını test etmekte ve aşırı yüklenmeyi engellemeyi amaçlamaktadır.
Kraken Ransomware’ın Özellikleri
Cisco Talos araştırmacılarına göre, Kraken’ın özellikleri arasında nadir bir yetenek bulunmaktadır. Bu, geçici dosyalar kullanarak, tam veya kısmi veri şifreleme arasında bir seçim yapmasına olanak tanır. Kraken ransomware, bu yılın başlarında HelloKitty operasyonunun devamı olarak ortaya çıkmış ve büyük oyun avı saldırıları ile veri hırsızlığı yaparak çifte zorbalık yöntemleri kullanmaktadır.
Bu çeteye ait veri sızıntı sitelerinde ABD, Birleşik Krallık, Kanada, Panama, Kuveyt ve Danimarka’dan kurbanlar listelenmiştir. Cisco araştırmacıları, Kraken’ın sitesindeki çeşitli referanslarla birlikte fidye notlarındaki benzerliklerin, artık faaliyette bulunmayan HelloKitty ransomware ile bağlantılı olduğunu göstermektedir.
Kraken Saldırı Zinciri
Cisco’ya göre, Kraken ransomware saldırıları genellikle internetten erişilebilir SMB güvenlik açıklarının istismar edilmesiyle başlar. Bu, tehdit aktörlerine ilk giriş noktası sağlar. Sonrasında, saldırgan, yönetici hesabı kimlik bilgilerini çıkararak, Remote Desktop Protocol (RDP) üzerinden tekrar ortama giriş yapar ve Cloudflared ile SSHFS araçlarını dağıtır.
Cloudflared, mağdur makineden saldırganın altyapısına geri tünel oluşturmak için kullanılırken, SSHFS, uzak dosya sistemlerinden veri çıkarmak için kullanılmaktadır. Kraken operatörleri, uzaktan erişilen makinelerde değerli verileri çalarak, ransomware iktisadının dağıtımını kolaylaştırmak için bu araçları kullanarak ağda lateral hareket eder.
Kaynak: Cisco
Şifreleme Modunun Belirlenmesi
Şifreleme komutu verildiğinde, Kraken her makine için bir performans testi gerçekleştirmektedir. Bu süreç, rastgele verilerle geçici bir dosya oluşturmayı, belirli bir süre içinde şifrelemeyi, sonuçları hesaplamayı ve dosyayı silmeyi içerir. Sonuçlara dayanarak, verilerin tamamen veya kısmen şifrelenip şifrelenmeyeceğine karar verilir.
Cisco Talos, makinenin yeteneklerini değerlendirmenin, saldırının son aşamasıyla hızla ilerleyeceğini ve yoğun kaynak kullanımı nedeniyle uyarıları tetiklemeyen maksimum zararı verebileceğini belirtmektedir. Kraken, gerçek şifrelemeyi başlatmadan önce, sistemdeki gölge hacimleri ve Geri Dönüşüm Kutusu’nu silmektedir.
Windows versiyonu dört şifreleme modülü sunmaktadır:
- SQL Veri Tabanı: Microsoft SQL Server örneklerini registry anahtarları aracılığıyla belirler, veritabanı dosya dizinlerini bulur, yolları doğrular ve SQL veri dosyalarını şifreler.
- Ağ Paylaşımı: Erişilebilir ağ paylaşımlarını WNet API’leri aracılığıyla yanıtlarken, ADMIN$ ve IPC$ dosyalarını yok sayar ve diğer tüm erişilebilir paylaşımlardaki dosyaları şifreler.
- Yerel Sürücü: Mevcut sürücü harflerini tarar, çıkarılabilir, sabit ve uzaktan sürücüleri hedef alarak içeriklerini ayrı iş parçacıkları kullanarak şifreler.
- Hyper-V: VM’leri listelemek için entegre PowerShell komutlarını kullanır, sanal disk yollarını alır, çalışan VM’leri zorla durdurur ve ilgili VM disk dosyalarını şifreler.
Linux/ESXi versiyonu, çalışan sanal makineleri sıralar ve durdurur, ardından aynı test mantığı ile çok iş parçacıklı tam veya kısmi şifreleme gerçekleştirir. Şifreleme tamamlandıktan sonra, otomatik olarak oluşturulan ‘bye_bye.sh’ scripti tüm günlükleri, shell geçmişini ve Kraken ikili dosyasını silerek kendisini de siler.
Şifrelenen dosyaların sonlarına ‘.zpsc’ uzantısı eklenir ve etkilenen dizinlere bir fidye notu (‘readme_you_ws_hacked.txt’) bırakılır. Bir durumda, $1 milyon fidye talep edilmiştir ve bu da Bitcoin üzerinden ödenmesi istenmiştir.
Kraken ransomware saldırılarına ilişkin tüm zarara işaret eden belirtiler (IoCs), GitHub reposundan erişilebilir.
