Kraken Ransomware

Ransomware-ul Kraken, identificat pentru prima dată în August 2018, este unul dintre cele mai recente şi de amploare instrumente maliţioase, utilizate cu succes în ultima perioadă de către grupuri de hackeri în întreaga lume. Versiunea curentă a softului conţine instrucţiuni de verificare a limbii folosite pe calculatoarele infectate, precum şi locaţia geografică a calculatoarelor în cauză, şi nu permite criptarea informaţiei dacă acestea sunt localizate în una dintre ţările din lista ce urmează: Armenia, Azerbaijan, Belarus, Estonia, Georgia, Iran, Kârgâzstan, Kazahstan, Lituania, Letonia, Moldova, Rusia, Tajikistan, Turkmenistan, Ucraina, Uzbekistan şi Brazilia.  

Totuşi, restricţia legată de localizarea geografică ar putea fi eliminată în versiunile viitoare, sau, eventual, alterată substanțial pentru a putea afecta şi profita în urmă infectării sistemelor din spaţiul geografic enunţat (inclusiv Republica Moldova), protejat în momentul de faţă.

Aplicaţia Kraken este oferită în calitate de RaaS – Ransomware as a Service, iar funcţionalul şi posibilităţile acestui instrument evoluează rapid, aplicaţia maliţioasă fiind actualizată cu cod nou, modificat substanțial, în scopul evitării detectării acestuia de către soluţiile de securitate.

O listă a funcţionalului de bază al aplicaţiei maliţioase este prezentată mai jos:
•    Modul Anti-Forensics — protejează codul împotriva analizei şi stabilirii modului de funcţionare a acestuia,
•    Modul Anti-Reverse — previne activităţile de inginerie reversivă asupra codului malițios,
•    Modul Anti-Virtualizare — funcţional ce permite identificare mediul în care este executat codul maliţios pentru a exclude rularea în mediul virtual,
•    Modul de identificare a ţării —  utilizat pentru verificarea setărilor regionale ale calculatoarelor infectate şi localizării geografice ale acestora,  
•    Modul de verificare a registrului — utilizat pentru a stabili dacă sistemul în cauză nu a fost afectat/criptat anterior,
•    Modul pentru dispozitive de stocare – utilizat pentru infectarea dispozitivelor externe de stocare, precum USB Flash, cartele SD, etc.
•    Module de reţea — permite propagarea softului maliţios prin intermediul reţelei către sistemele disponibile,
•    Module de evaziune — permite evitarea identificării codului maliţios de către soluţiile de securitate.
Conform modelului RaaS, există două părţi implicate în campaniile de infectare: dezvoltatorii – cei ce menţin aplicaţia şi afiliaţii - cei ce o distribuie printr-o serie de metode, precum ar fi drive-by-download, exploatarea vulnerabilităţilor, etc. Conform informaţiei publice, statului de afiliat şi accesul la aplicaţia maliţioasă este oferit pentru doar $50. Preţul nesemnificativ al serviciului, precum şi platforma intuitivă şi simplistă a softului maliţios în cauză, determină şi cauzează implicarea în campaniile de infectare a unui număr considerabil de grupuri şi individuali cu cunoştinţe şi abilităţi limitate în domeniu, iar în consecinţă, sporeşte gradul de distribuire a infecţiei şi riscul se securitate aferent.

Orange Moldova CERT recomandă sa întreprindeţi măsurile de bază ce ar reduce riscul infectării cu soft maliţios, inclusiv Kraken:
•    Conştientizarea şi informarea privind utilizarea corectă a serviciului de poştă electronică,
•    Gestionarea corectă a copiilor de rezervă pentru informaţia critică,  
•    Gestionarea actualizărilor pentru aplicaţiile utilizate, în special pentru sistemul de operare, Flash Player şi Adobe Reader (vulnerabilităţile cărora sunt utilizate pentru propagarea infecţiei cu Kraken),
•    Politica de parole ce asigură utilizarea parolelor complexe
•    Soluţii de Control al aplicaţiilor utilizate în cadrul sistemelor informatice.