Allarme Kraken: il ransomware misura le prestazioni del PC prima di attaccare

Nel mutevole panorama delle minacce informatiche, una nuova variante di ransomware sta facendo parlare di sé per la sua capacità di adattarsi e colpire con precisione chirurgica.

Stiamo parlando di Kraken, una famiglia di malware che introduce un approccio inedito e insidioso alle tecniche di estorsione digitale, modificando la propria strategia d’attacco in base alle risorse del sistema bersaglio.

Il tratto distintivo di questa minaccia è la sua sofisticata fase di benchmarking delle performance: prima di iniziare la cifratura dei dati, il malware esegue un test sulle prestazioni del sistema. Crea un file temporaneo, lo cifra e ne misura i tempi di elaborazione. Sulla base dei risultati ottenuti, decide se adottare una cifratura completa oppure parziale, scegliendo la modalità che consente di massimizzare i danni e ridurre al minimo le probabilità di essere rilevato dai sistemi di sicurezza.

Questa strategia segna un netto passo avanti rispetto ai ransomware tradizionali, che tipicamente adottano una logica d’attacco uniforme e poco adattiva. L’approccio dinamico di Kraken complica enormemente la vita dei difensori, rendendo inefficaci molte delle soluzioni di detection basate su pattern statici o su tempistiche anomale di cifratura.

Kraken è un ransomware che si adatta alla macchina presa di mira

La pericolosità di Kraken non si limita alla sola adattabilità. Le sue varianti sono state osservate in azione su diversi sistemi operativi, tra cui Windows, Linux e ambienti virtualizzati ESXi. Prima di procedere con la cifratura dei dati, il malware elimina le copie shadow, svuota il cestino e disabilita ogni servizio di backup, con l’obiettivo di impedire qualsiasi tentativo di recupero delle informazioni compromesse. Nei contesti virtualizzati, si spinge oltre, arrestando le macchine virtuali per poter accedere direttamente ai dischi sottostanti.

In ambiente Windows, Kraken mette in campo quattro moduli specifici che prendono di mira i database SQL, le condivisioni di rete, i dischi locali e le infrastrutture Hyper-V. Grazie all’utilizzo del multithreading, il processo di cifratura risulta estremamente rapido ed efficiente.

Le versioni destinate a Linux e ESXi adottano un approccio simile, ma modulano il proprio comportamento in funzione delle prestazioni rilevate durante il benchmarking iniziale, rendendo ogni attacco unico e difficilmente prevedibile.

Un malware invisibile e altamente efficace

A seguito dell’attacco, Kraken si premura di cancellare ogni traccia della propria presenza: elimina i log, le cronologie shell, il binario del malware e qualsiasi altra evidenza dell’intrusione. I file colpiti vengono rinominati con l’estensione zpsc, un dettaglio che consente di identificare immediatamente la presenza del ransomware.

In ogni directory interessata, inoltre, compare il messaggio “readme you ws hacked”, lasciando ben poco spazio ai dubbi circa la natura dell’incidente. Le richieste di riscatto avanzate dagli autori possono raggiungere cifre elevatissime, arrivando anche al milione di dollari in Bitcoin.

Non meno rilevanti sono i legami che il gruppo dietro Kraken mantiene con la storica gang HelloKitty: le due organizzazioni condividono elementi nelle nomenclature dei file di riscatto e riferimenti incrociati sui rispettivi siti di leak. Inoltre, gli autori gestiscono un forum clandestino denominato The Last Haven Board, utilizzato per coordinare le attività criminali e scambiare informazioni riservate tra affiliati.

Gli esperti suggeriscono un approccio difensivo multilivello: è fondamentale predisporre backup regolari e isolati, implementare un controllo rigoroso degli accessi, segmentare la rete, applicare tempestivamente le patch di sicurezza e limitare al massimo l’esposizione dei servizi critici. Particolarmente importante è l’adozione dell’autenticazione multi-fattore, il monitoraggio degli arresti anomali delle VM e la verifica periodica delle procedure di disaster recovery.

La comunità della sicurezza sottolinea come la semplice protezione dei singoli endpoint non sia più sufficiente. È indispensabile ottenere una visibilità totale sull’ecosistema IT e promuovere la condivisione degli indicatori di compromissione, così da contrastare efficacemente una minaccia in costante evoluzione come quella rappresentata da Kraken.