Kraken-ransomware checkt met benchmark eerst hoe snel je systeem is
Cisco Talos heeft een nieuwe, Russische cyberdreiging opgemerkt waarbij de Kraken-ransomwaregroep zijn aanvallen richt op grote organisaties. Als schijnbare voortzetting van het beruchte HelloKitty-kartel steelt en versleutelt het de data en eist het losgeld. Opvallend daarbij is dat het eerst een benchmarktest uitvoert. Ook qua platformen discrimineert het niet. Zowel systemen met Windows, Linux als VMware ESXi kan het aanvallen. Om er ook een sociale factor aan te verbinden, startte Kraken daarnaast nog met een forum voor cybercriminelen, The Last Haven Board.
Gesofisticeerde aanvalsmethode
Kraken maakt gebruik van bekende kwetsbaarheden, merkte beveiligingsgroep Cisco Talos. Via kwetsbaarheden in Server Message Block (SMB) krijgen ze toegang tot servers die met het internet verbonden zijn. Dan halen ze de toegangsgegevens van de administrator en andere accounts met verhoogde rechten eruit en komen ze zo terug binnen via een Remote Desktop-verbinding. Daarna installeren ze Cloudflared om een constante toegang te verkrijgen en SSHFS om data weg te sluizen. Pas daarna volgt de encryptie via de verschillende gehackte accounts. Die aanpak maakt het moeilijk om de aanval vroegtijdig te stoppen.
Een interessante toets is de benchmarktest via een tijdelijk bestand dat ze terug verwijderen. Zo kunnen ze bepalen of ze opteren voor de volledige of gedeeltelijke encryptiemodus om het systeem niet te overbelasten. Zo vermijden ze vroegtijdig alarm en kunnen ze helemaal hun gang gaan.
Losgeld tot 1 miljoen dollar
Na de aanval krijgen slachtoffers een bestand met de naam ‘readme_you_ws_hacked.txt’ waarin de instructies staan. Betalen ze het losgeld – er is bijvoorbeeld al 1 miljoen dollar in Bitcoin geëist – niet, dan komt de gevoelige bedrijfsdata op hun leaksite. Betalen ze wel, dan krijgen ze hun gegevens in originele staat terug, inclusief belofte van geheimhouding. Van een waterdichte garantieregeling zal wellicht geen sprake zijn.
Om een aanval met ransomware te vermijden, moeten bedrijven tijdig patches installeren, tweefactorauthenticatie gebruiken, netwerken opsplitsen, detectietools installeren en goed monitoren.
