Kraken Ransomware: Windows, Linux ve VMware ESXi Hedefli Çok Platformlu Saldırı
Kraken Ransomware: HelloKitty Kalıntılarından Yükselen Tehdit
Cisco Talos, HelloKitty ransomware kartelinin kalıntılarından ortaya çıkan sofistike çok platformlu ransomware grubu Kraken'den yeni bir tehdit tespit etti.
Çok Platformlu Mimari
Kraken, ransomware tehditlerinde önemli bir evrimi temsil ediyor. Geleneksel ransomware ailelerinden farklı olarak, Kraken Windows, Linux ve VMware ESXi sistemleri için özel olarak tasarlanmış distinct encryptörler içeriyor.
Bu mimari yaklaşım, grubun geleneksel sunuculardan sanallaştırılmış ekosistemlere kadar çeşitli altyapı ortamlarında hasarı maksimize etmesine olanak tanıyor.
Enfeksiyon Zinciri
Talos incident response gözlemlerine göre, Kraken'in enfeksiyon zinciri, internete maruz kalan sunuculardaki Server Message Block (SMB) zafiyetlerinin sömürülmesiyle başlıyor.
İlk erişim sağlandıktan sonra, saldırganlar ayrıcalıklı kimlik bilgilerini çıkarıyor ve ardından Remote Desktop Protocol bağlantıları üzerinden kurban ortamına yeniden giriyor.
Grup, kalıcılık için Cloudflared kullanıyor ve şifreleme başlatmadan önce veri sızdırma için SSH Filesystem (SSHFS) kullanıyor.
Çifte Şantaj Modeli
Grup, şifreleme ile veri hırsızlığını birleştiren bir double extortion model kullanıyor. Kurbanlar, ransom talepleri karşılanmazsa Kraken'in veri sızıntı sitesinde kamuya açıklanmakla tehdit ediliyor.
Gözlemlenen vakalarda, grup yaklaşık 1 milyon USD Bitcoin talep etti. Ödeme sonrasında şifre çözme ve ifşa olmama garantisi veriliyor.
Eşsiz Teknik Yetenekler
Kraken ransomware, modern ransomware'de nadiren görülen ayırt edici bir özellik içeriyor: encryption benchmarking.
Gerçek şifreleme sürecini başlatmadan önce, malware kurban makinenin performansını test ediyor ve saldırıyı optimize ediyor. Bu yetenek, operatörlerin mevcut kaynaklara göre tam veya kısmi şifreleme yapıp yapmamaya karar vermesini sağlıyor.
Windows Varyantı
Windows varyantı, C++ ile yazılmış 32-bit çalıştırılabilir dosya. Kontrol akışı obfuscation, WoW64 redirection manipülasyonu ve exception handler tampering dahil sofistike anti-analiz teknikleri kullanıyor.
Ransomware, kurtarmayı önlemek için Windows Backup servislerini kapatıyor, sistem geri yükleme noktalarını kaldırıyor ve geri dönüşüm kutusunu siliyor.
Linux ve ESXi Varyantları
Linux ve ESXi varyantları, platforma özel adaptasyonlar gösteriyor. ESXi sistemlerinde, malware şifrelemeden önce çalışan sanal makineleri zorla sonlandırıyor.
Her iki varyant da RSA-4096 ve ChaCha20 algoritmaları kullanarak çok thread'li şifreleme uyguluyor ve şifrelenmiş dosyalara .zpsc uzantısı ekliyor.
Coğrafi Kapsam
Kraken, belirli iş dikeylerine odaklanmadan fırsatçı hedefleme gösteriyor. Belgelenen kurbanlar, ABD, İngiltere, Kanada, Danimarka, Panama ve Kuveyt dahil olmak üzere çoklu coğrafyalara yayılıyor.
Kaynak: gbhackers.com
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.