- Krakenランサムウェアは暗号化被害の規模を決定する前にシステム性能を測定
- シャドウコピー、ごみ箱、バックアップは暗号化開始前に削除
- Windows、Linux、ESXiシステムすべてがKrakenのベンチマーク駆動型攻撃の対象
Krakenランサムウェアキャンペーンは、被害者のデータをどれだけ早く暗号化できるかを判断するため、一時ファイルの暗号化にかかる時間を計測するベンチマークステップを導入しています。
Cisco Talosの研究者によると、このマルウェアはランダムなデータファイルを作成し、それを暗号化し、速度を記録した後、テストファイルを削除します。
この結果に基づき、ハッカーは完全暗号化と、システム負荷を抑えて活動が露見するのを防ぎつつファイルに損害を与える部分的なアプローチのどちらを選ぶかを決定します。
重要な企業資産を標的に
報告書の中で、研究者たちはKrakenがシャドウコピーの削除、ごみ箱のクリア、バックアップサービスの無効化によって、侵害した各環境をどのように準備するかを説明しています。
Windows版には、SQLデータベース、ネットワーク共有、ローカルドライブ、Hyper-V仮想マシンを検出・暗号化するための4つの個別モジュールが含まれています。
これらのモジュールはパスを確認し、稼働中の仮想マシンを停止し、複数のワーカースレッドで暗号化を適用してカバー範囲を拡大します。
LinuxおよびESXi版は、稼働中の仮想マシンを終了させてディスクをアンロックし、同じベンチマークベースのロジックを適用した後、ホスト全体のデータを暗号化します。
暗号化フェーズが完了すると、ランサムウェアはログのクリア、シェル履歴の削除、バイナリの削除、操作の証拠の消去を行うスクリプトを実行します。
ファイルには .zpsc 拡張子が付与され、readme_you_ws_hacked.txt というタイトルの身代金要求メモが影響を受けた場所に現れます。
Ciscoは、攻撃者が100万ドル相当のビットコインを要求した事例を報告しており、関連する侵害指標は公開リポジトリに記録されています。
Krakenは、以前のHelloKittyランサムウェアグループと運用上の特徴を共有しているようで、両グループは同一の身代金メモのファイル名を使用し、リークサイト上で互いに言及しています。
Krakenの背後にいるハッカーたちは、サイバー犯罪エコシステム内で安全な通信チャネルを提供すると主張する新たなアンダーグラウンドフォーラム「The Last Haven Board」の開設も発表しました。
記録された事例では、攻撃者はインターネットに公開された脆弱なSMBサービスを悪用して初期アクセスを獲得し、管理者資格情報を収集してリモートデスクトップ経由で再侵入しました。
Cloudflareトンネルによって永続性を維持し、SSHFSを使ってネットワーク内を移動し、データを流出させました。
その後、攻撃者はKrakenバイナリを展開し、盗んだ資格情報を使って他のシステムにも拡散しました。
Krakenのような脅威から身を守るには、露出を制限し潜在的な被害を減らす一貫した対策が必要であり、組織は強力なランサムウェア対策を維持し、バックアップ、アクセス制御、ネットワーク分割を適切に適用・監視すべきです。
アンチウイルスソフトウェアを最新の状態に保つことで、悪意のあるファイルが拡散する前に検出でき、定期的なマルウェア除去ツールで侵入の痕跡を除去できます。
インターネットに公開されたサービスの制限、脆弱性の修正、強力な認証の徹底も攻撃者の機会をさらに減らします。
