Investigadores da Recorded Future’s Insikt Group e McAfee’s Advanced Threat Research team descobriram uma nova versão do malware que é agora distribuído na DarkWeb sobre o modelo de Ransomware-as-a-Service (RaaS).
A nova versão do Kraken v.2 está a ser anunciada num dark fórum e está disponível por meio de um modelo de ransomware como serviço (RaaS). Com apenas US $50, é possível aderir ao programa de afiliados como um parceiro confiável e receber uma nova versão aprimorada do ransomware Kraken a cada 15 dias. Os afiliados recebem 80% do resgate pago e os operadores disponibilizam um serviço de suporte 24/7.
“The McAfee Advanced Threat Research team, working with the Insikt group from Recorded Future, found evidence of the Kraken authors asking the Fallout team to be added to the Exploit Kit. With this partnership, Kraken now has an additional malware delivery method for its criminal customers.” reads a post published by McAfee.
“We also found that the user associated with Kraken ransomware, ThisWasKraken, has a paid account. Paid accounts are not uncommon on underground forums, but usually malware developers who offer services such as ransomware are highly trusted members and are vetted by other high-level forum members. Members with paid accounts are generally distrusted by the community.”
O Kraken Cryptor é um programa de afiliados do ransomware-as-a-service (RaaS) que apareceu pela primeira vez no submundo do cibercrime em 16 de agosto de 2018. Ele foi anunciado num fórum cibercriminoso de língua russa pelo autor malicioso ThisWasKraken.
No final de setembro, o investigador nao_sec descobriu que o Fallout Exploit Kit (o mesmo usado para distribuir o ransomware GandCrab) começou também a difundir o ransomware Kraken.
Depois de a vítima pagar o resgate completo, o membro afiliado envia 20 por cento do pagamento recebido para o RaaS de forma a receber a chave privada e encaminhar depois para a vítima. A chave privada permite obter o conteúdo originalmente cifrado pelo ransomware.
“In addition to the countries listed above, the latest samples of Kraken that have been identified in the wild no longer affect victims in Syria, Brazil, and Iran, suggesting that ThisWasKraken (or their associates) may have some connection to Brazil and Iran, though this is not confirmed. It is likely that Syria was added following the plea for help from a victim whose computer was infected by another ransomware called GandCrab.” reads the analysis published by Recorded Future.
Investigadores do Insikt Group perceberam que os operadores de RaaS não permitem que os afiliados enviem os ficheiros de amostra do Kraken para serviços de antivírus baseados em Cloud.
Segue abaixo um mapa que mostra a distribuiçaão das vítimas do ransomware Kraken.
O ransomware já infectou 620 vítimas em todo o mundo desde agosto, mas os especialista apontaram que a primeira campanha real só começou no mês passado, quando os atacantes estavam a mascarar a ameaça através de uma solução de segurança no website SuperAntiSpyware.
Kraken Cryptor 1.5 ransomware sample: https://t.co/HjOi2e8HUg
Note is now html, name: # How to Decrypt Files.html
Victims from CIS countries & Iran gets free decryption. W/ having “IP address & geolocation” data, citizenship card still needed…
🤔@BleepinComputer @demonslay335 pic.twitter.com/mgyk13v0wD— MalwareHunterTeam (@malwrhunterteam) September 14, 2018