AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Kraken Ransomware Optimiza su Velocidad de Cifrado para Atacar Infraestructuras Windows y ESXi**

admin

### Introducción

La reciente evolución del ransomware Kraken ha puesto en alerta a la comunidad de ciberseguridad. Este malware, conocido por atacar sistemas Windows y entornos virtualizados basados en Linux/VMware ESXi, ha incorporado una funcionalidad novedosa: la capacidad de probar la velocidad de cifrado en los sistemas comprometidos, adaptando su comportamiento para maximizar el daño sin sobrecargar los recursos. Este artículo analiza en profundidad los aspectos técnicos de esta amenaza, su impacto en infraestructuras críticas y las mejores prácticas de mitigación para profesionales del sector.

### Contexto del Incidente o Vulnerabilidad

Kraken es una familia de ransomware detectada inicialmente a finales de 2023, pero que en los últimos meses ha mostrado una actividad creciente y una notable evolución en sus técnicas de ataque. Tradicionalmente, las variantes de ransomware buscaban cifrar la mayor cantidad de datos en el menor tiempo posible, aunque ello implicara ralentizar el sistema objetivo o, incluso, hacerlo inoperativo. Kraken, en cambio, realiza pruebas de rendimiento en la máquina víctima para ajustar su velocidad de cifrado, evitando así ser detectado por un descenso brusco de recursos o alertar a administradores mediante anomalías de rendimiento.

Este enfoque no solo incrementa el índice de éxito de los ataques, sino que dificulta la detección temprana por parte de los equipos SOC y los sistemas EDR, que suelen basar sus alertas en picos de actividad inusuales.

### Detalles Técnicos

La variante analizada de Kraken afecta a sistemas operativos Windows (versiones 7, 8, 10, 11, Server 2016, 2019, 2022) y a entornos virtualizados mediante la explotación de máquinas Linux con VMware ESXi. Utiliza técnicas de reconocimiento para identificar el tipo de sistema y los recursos disponibles (CPU, RAM, velocidad de disco), ejecutando pruebas de cifrado en archivos señuelo antes de proceder con el ataque total. Esta evaluación de rendimiento permite al malware ajustar dinámicamente parámetros como el tamaño de los bloques de datos cifrados o la cantidad de hilos concurrentes.

Los vectores de ataque primarios identificados son:

– **Explotación de servicios RDP y SSH mal configurados o con credenciales débiles.**
– **Aprovechamiento de vulnerabilidades conocidas en VMware ESXi** (por ejemplo, CVE-2021-21985), lo que facilita el acceso a entornos virtualizados.
– **Phishing dirigido** para la distribución inicial del payload.

En cuanto a los TTP (Tactics, Techniques and Procedures) del framework MITRE ATT&CK, Kraken destaca en:

– **T1078 (Valid Accounts):** Uso de credenciales robadas para movimiento lateral.
– **T1486 (Data Encrypted for Impact):** Cifrado de datos, con pruebas previas de rendimiento.
– **T1562 (Impair Defenses):** Desactivación de servicios de seguridad antes del cifrado.

Los indicadores de compromiso (IoC) incluyen hashes SHA256 específicos de las muestras recientes, direcciones IP de C2 (Command & Control) en Rusia y Europa del Este, y extensiones de archivo cifrado características (por ejemplo, .kraken2024).

Se han observado exploits personalizados y el uso ocasional de frameworks como Metasploit para el acceso inicial y Cobalt Strike para el movimiento lateral y persistencia.

### Impacto y Riesgos

El impacto potencial de Kraken es elevado, especialmente en empresas con infraestructuras virtualizadas. El cifrado adaptativo permite ataques prolongados y sigilosos, lo que incrementa el riesgo de cifrado masivo antes de la detección. Según estimaciones recientes, el 20% de las víctimas de ransomware en 2024 han sido infraestructuras con ESXi, y el tiempo medio de detección post-compromiso supera las 10 horas.

Las demandas de rescate oscilan entre 50.000 y 500.000 dólares, y el daño reputacional y operativo puede ser crítico, especialmente en sectores regulados por GDPR o la directiva NIS2, donde la notificación de incidentes y la protección de datos son obligatorias.

### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de infección por Kraken, se recomienda:

– **Actualizar y parchear** todos los sistemas, especialmente ESXi (aplicar parches relacionados con CVE-2021-21985 y similares).
– **Segmentar la red** y limitar el acceso a servicios críticos (RDP, SSH) mediante VPN y MFA.
– **Monitorizar el rendimiento** de servidores y establecer alertas ante patrones anómalos de acceso a disco.
– **Implementar backups offline y testear regularmente la restauración**.
– **Desplegar EDRs avanzados** capaces de identificar pruebas de cifrado y comportamientos adaptativos.

### Opinión de Expertos

Analistas de amenazas de varias firmas internacionales destacan que la adaptación dinámica del cifrado representa una tendencia emergente en el malware sofisticado. «El ransomware ya no es solo un ataque de fuerza bruta, sino una operación quirúrgica basada en la inteligencia del sistema objetivo», señala Pablo Salas, CISO de una consultora europea. Además, el uso de técnicas de prueba de recursos dificulta la creación de firmas estáticas y obliga a los profesionales a reforzar la detección basada en comportamiento.

### Implicaciones para Empresas y Usuarios

El avance de Kraken evidencia la necesidad de reforzar no solo la protección perimetral, sino también la visibilidad interna y la capacidad de respuesta ante incidentes. Empresas del sector financiero, industrial y sanitario, especialmente aquellas que dependen de entornos virtualizados, deben revisar con urgencia sus políticas de backup y segmentación de red. El cumplimiento de la normativa GDPR y la inminente entrada en vigor de NIS2 exigen, además, una respuesta rápida y transparente ante cualquier indicio de compromiso.

### Conclusiones

Kraken representa una nueva generación de ransomware con enfoque adaptativo, capaz de maximizar el daño minimizando el ruido. Su capacidad de ajustar el cifrado a las capacidades del sistema supone un reto para los equipos de seguridad, que deben evolucionar hacia estrategias de defensa proactiva, detección basada en comportamiento y recuperación efectiva. La colaboración entre sectores y la actualización constante de los sistemas son, más que nunca, imprescindibles.

(Fuente: www.bleepingcomputer.com)