Nel panorama delle minacce informatiche, dove ogni giorno emergono nuove varianti di malware sempre più sofisticate, Kraken rappresenta un salto evolutivo preoccupante. Non si tratta del solito ransomware che cifra indiscriminatamente tutto ciò che trova: questa famiglia di malware introduce un approccio inedito, quasi scientifico, che lo rende particolarmente insidioso e difficile da contrastare. La caratteristica che distingue Kraken da qualsiasi altro ransomware conosciuto è la sua capacità di adattarsi dinamicamente al sistema bersaglio. Prima di iniziare la devastante fase di cifratura dei dati, il malware esegue una vera e propria valutazione delle prestazioni della macchina infettata. Come funziona esattamente questo processo? Kraken crea un file temporaneo, lo cifra e misura con precisione i tempi di elaborazione. Sulla base dei risultati ottenuti da questo test, il ransomware decide autonomamente se adottare una cifratura completa oppure parziale dei file.
Questa strategia basata sul benchmarking consente al malware di massimizzare i danni e contemporaneamente ridurre al minimo le probabilità di essere rilevato dai sistemi di sicurezza. Se il computer è potente e veloce, Kraken può permettersi una cifratura più aggressiva e completa. Se invece le risorse sono limitate, adotta un approccio più selettivo, colpendo solo i file più critici ma completando l’operazione in tempi rapidi, prima che i software antivirus possano intervenire. Questo approccio dinamico segna un netto passo avanti rispetto ai ransomware tradizionali, che tipicamente seguono una logica d’attacco uniforme e prevedibile. L’adattabilità di Kraken complica enormemente la vita dei team di sicurezza informatica, rendendo inefficaci molte delle soluzioni di detection basate su pattern statici o sul riconoscimento di tempistiche anomale di cifratura. Come si fa a identificare un comportamento sospetto quando il malware si comporta diversamente su ogni macchina?
La pericolosità di Kraken non si limita alla sola adattabilità. Le sue varianti sono state osservate in azione su diversi sistemi operativi, tra cui Windows, Linux e ambienti virtualizzati ESXi. Questo significa che nessuna infrastruttura è al sicuro: dalle postazioni desktop degli uffici ai server enterprise che ospitano dati critici aziendali. Prima di procedere con la cifratura, Kraken esegue una serie di operazioni preparatorie devastanti. Elimina le copie shadow, quelle copie di backup automatiche che Windows crea periodicamente e che potrebbero consentire il recupero dei file. Svuota completamente il cestino, rimuovendo ogni possibilità di ripristino. Disabilita sistematicamente ogni servizio di backup attivo sul sistema. L’obiettivo è chiaro: impedire qualsiasi tentativo di recupero delle informazioni compromesse senza pagare il riscatto.
Nei contesti virtualizzati, tipici delle infrastrutture aziendali moderne, Kraken si spinge ancora oltre. Il malware arresta deliberatamente le macchine virtuali in esecuzione per poter accedere direttamente ai dischi sottostanti, cifrando i file VMDK che contengono interi sistemi operativi e applicazioni critiche. Un singolo attacco può paralizzare decine di server virtuali simultaneamente. In ambiente Windows, Kraken mette in campo quattro moduli specializzati che prendono di mira obiettivi specifici: i database SQL, dove risiedono informazioni strutturate di vitale importanza per le aziende; le condivisioni di rete, che permettono di propagare l’infezione ad altri computer connessi; i dischi locali, con tutti i documenti e file degli utenti; e le infrastrutture Hyper-V, la piattaforma di virtualizzazione Microsoft. Grazie all’utilizzo del multithreading, una tecnica che sfrutta contemporaneamente tutti i core del processore, il processo di cifratura risulta estremamente rapido ed efficiente.
Le versioni di Kraken destinate a Linux e ESXi adottano un approccio simile ma ancora più sofisticato, modulando il proprio comportamento in funzione delle prestazioni rilevate durante il benchmarking iniziale. Questo rende ogni attacco unico e difficilmente prevedibile, complicando le analisi forensi post-incidente. A seguito dell’attacco, Kraken dimostra una preoccupante attenzione nel coprire le proprie tracce. Elimina sistematicamente i log di sistema, le cronologie delle shell utilizzate, il binario del malware stesso e qualsiasi altra evidenza dell’intrusione. Gli investigatori informatici si trovano di fronte a sistemi compromessi ma con pochissime informazioni su come sia avvenuta la violazione. I file colpiti vengono rinominati con l’estensione zpsc, un dettaglio che consente di identificare immediatamente la presenza del ransomware. In ogni directory interessata compare inoltre il messaggio “readme you ws hacked”, un biglietto da visita inequivocabile lasciato dagli attaccanti. Nonostante l’errore grammaticale apparente, questo messaggio introduce le richieste di riscatto che possono raggiungere cifre elevatissime.
Le somme richieste dagli autori di Kraken arrivano fino al milione di dollari in Bitcoin, una cifra che dimostra come il malware sia indirizzato principalmente verso obiettivi di alto valore: aziende medio-grandi, istituzioni, organizzazioni con dati critici da proteggere. Non si tratta di attacchi casuali ma di campagne mirate che puntano a massimizzare il profitto. I ricercatori di sicurezza hanno identificato legami significativi tra il gruppo dietro Kraken e la storica gang cybercriminale HelloKitty. Le due organizzazioni condividono elementi nelle nomenclature dei file di riscatto, utilizzano riferimenti incrociati sui rispettivi siti di leak dove pubblicano i dati delle vittime che non pagano, e mostrano similitudini nelle tecniche operative. Inoltre, gli autori gestiscono un forum clandestino denominato The Last Haven Board, una piattaforma utilizzata per coordinare le attività criminali, reclutare affiliati e scambiare informazioni riservate.
Come difendersi da una minaccia così sofisticata? Gli esperti di cybersecurity suggeriscono un approccio difensivo multilivello che non può limitarsi all’installazione di un antivirus. È fondamentale predisporre backup regolari e, aspetto cruciale, mantenere questi backup completamente isolati dalla rete principale. Un backup connesso alla rete è vulnerabile tanto quanto i dati originali. L’implementazione di un controllo rigoroso degli accessi rappresenta un altro pilastro della difesa. Ogni utente dovrebbe avere solo i privilegi strettamente necessari per svolgere il proprio lavoro, secondo il principio del minimo privilegio. La segmentazione della rete in zone isolate può limitare la propagazione del malware in caso di infezione. L’applicazione tempestiva delle patch di sicurezza chiude le vulnerabilità che potrebbero essere sfruttate per la compromissione iniziale.
Particolarmente importante è l’adozione dell’autenticazione multi-fattore per tutti gli accessi critici. Anche se le credenziali vengono rubate, un secondo fattore di autenticazione può impedire l’accesso non autorizzato. Il monitoraggio degli arresti anomali delle macchine virtuali può rivelare tentativi di attacco in corso, mentre la verifica periodica delle procedure di disaster recovery assicura che, in caso di incidente, l’organizzazione sappia esattamente come ripristinare le operazioni. La comunità della sicurezza informatica sottolinea un punto fondamentale: la semplice protezione dei singoli endpoint non è più sufficiente contro minacce di questo livello. È indispensabile ottenere una visibilità totale sull’ecosistema IT, monitorando comportamenti anomali a livello di rete, endpoint, server e sistemi cloud. La condivisione degli indicatori di compromissione tra organizzazioni e attraverso le piattaforme di threat intelligence diventa essenziale per contrastare efficacemente una minaccia in costante evoluzione come Kraken.
