TokyoBlackHatNews

bleepingcomputer.com 4分で読了

Krakenランサムウェア、最適な暗号化方式選択のためシステムをベンチマーク

Image

WindowsおよびLinux/VMware ESXiシステムを標的とするKrakenランサムウェアは、マシンをテストして、負荷をかけすぎることなくどれだけ高速にデータを暗号化できるかを確認しています。

Cisco Talosの研究者によると、Krakenのこの機能は珍しい能力であり、一時ファイルを利用して、データを完全暗号化するか部分暗号化にとどめるかを選択します。

Krakenランサムウェアは、HelloKittyオペレーションの継続として年初に出現し、データ窃取を伴う二重恐喝型の「ビッグゲームハンティング」攻撃を行っています。

ギャングのデータ流出サイトには、米国、英国、カナダ、パナマ、クウェート、デンマークの被害者が掲載されています。

Ciscoの研究者は、Krakenのサイト上でのさまざまな記述や身代金メモの類似点から、2021年に注目を集め、その後リブランディングを試みたものの、ソースコードが流出して現在は活動停止状態にあるHelloKittyランサムウェアとのつながりが示唆されると指摘しています。

ランサムウェアオペレーションとは別に、Krakenは「The Last Haven Board」と呼ばれる新たなサイバー犯罪フォーラムも立ち上げ、(表向きは)安全なコミュニケーションと取引の場を提供しています。

Image
ダークウェブ上のKraken恐喝ポータル
出典: BleepingComputer

Krakenの攻撃チェーン

Ciscoの観測によると、Krakenランサムウェアの攻撃は通常、インターネットに公開された資産に存在するSMBの脆弱性を悪用することから始まり、これによって攻撃者は初期侵入の足掛かりを得ます。

次に、侵入者は管理者アカウントの認証情報を抽出し、それを用いてRDP(Remote Desktop Protocol)経由で再度環境に侵入し、CloudflaredおよびSSHFSツールを展開します。

Cloudflaredは被害ホストから攻撃者インフラへのリバーストンネルを作成するために使用され、SSHFSはマウントされたリモートファイルシステムを通じてデータを流出させることを可能にします。

Krakenのオペレーターは、永続的なCloudflaredトンネルとRDPを利用して侵害済みネットワーク内を移動し、到達可能なすべてのマシンへ横展開して価値の高いデータを窃取し、ランサムウェア本体を展開するための下地を整えます。

Kraken infection chain
Krakenの感染チェーン
出典: Cisco

暗号化モードの設定

暗号化コマンドが発行されると、Krakenは各マシンでパフォーマンスベンチマークを実行すると、研究者らは述べています

このプロセスには、ランダムデータを含む一時ファイルの作成、それを時間計測しながら暗号化する処理、結果の算出、その後のファイル削除が含まれます。

その結果に基づき、データを完全に暗号化するか、部分的に暗号化するかが決定されます。

Speed calculation function
速度計算関数
出典: Cisco

Cisco Talosは、マシンの能力を評価することで、攻撃の最終段階を迅速に進めつつ、リソース使用量の急増によるアラートを引き起こすことなく最大限の被害を与える狙いがあると指摘しています。

実際の暗号化を開始する前に、Krakenはシャドウボリュームとごみ箱を削除し、システム上で動作しているバックアップサービスを停止します。

Ciscoによれば、Windows版Krakenには次の4つの暗号化モジュールが備わっています: 

  1. SQLデータベース – レジストリキーからMicrosoft SQL Serverインスタンスを特定し、そのデータベースファイルディレクトリを探し、パスを検証したうえでSQLデータファイルを暗号化します。
  2. ネットワーク共有 – WNet APIを通じてアクセス可能なネットワーク共有を列挙し、ADMIN$とIPC$を除外したうえで、その他すべての到達可能な共有上のファイルを暗号化します。
  3. ローカルドライブ – 利用可能なドライブレターをスキャンし、リムーバブル、固定、リモートドライブを対象として、それぞれの内容を個別のワーカースレッドで暗号化します。
  4. Hyper-V – 埋め込まれたPowerShellコマンドを使用してVMを一覧表示し、その仮想ディスクパスを取得、稼働中のVMを強制停止したうえで、関連するVMディスクファイルを暗号化します。

Linux/ESXi版は、実行中の仮想マシンを列挙して強制終了し、そのディスクファイルのロックを解除したうえで、Windows版と同じベンチマークロジックを用いてマルチスレッドによる完全または部分暗号化を行います。

暗号化完了後には、自動生成された「bye_bye.sh」スクリプトが実行され、すべてのログ、シェル履歴、Kraken本体バイナリ、そして最後にスクリプト自身が削除されます。

暗号化されたファイルには「.zpsc」という拡張子が付与され、影響を受けたディレクトリには身代金メモ(「readme_you_ws_hacked.txt」)が配置されます。

Kraken ransom note
Krakenの身代金メモ
出典: Cisco

Ciscoは、あるケースではビットコインで100万ドルの身代金要求を確認したと述べています。

Krakenランサムウェア攻撃に関連する完全な侵害指標(IoC)は、このGitHubリポジトリで公開されています。

翻訳元: https://www.bleepingcomputer.com/news/security/kraken-ransomware-benchmarks-systems-for-optimal-encryption-choice/

ソース: bleepingcomputer.com
#Cisco Talos調査 #HelloKittyランサムウェア #Krakenランサムウェア #Linux ESXi攻撃 #SMB脆弱性悪用 #Windowsマルウェア #ビッグゲームハンティング #二重恐喝(ダブルエクストーション) #仮想マシン暗号化 #暗号化ベンチマーク機能

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用