Onderzoekers hebben een ransomware-exemplaar ontdekt dat eerst een benchmark van het systeem uitvoert voordat het bestanden versleutelt. Volgens Cisco is dit een zelden geziene feature bij ransomware. De Kraken-ransomware wordt volgens de onderzoekers onder andere verspreid via kwetsbare SMB-services. Zodra de aanvallers toegang tot een netwerk hebben worden eerst gegevens gestolen en vindt daarna de versleuteling plaats.

Om de versleuteling zo snel mogelijk te laten plaatsvinden kan Kraken de snelheid van het systeem benchmarken. Hiervoor maakt de ransomware eerst een tijdelijk testbestand aan, dat met willekeurige data wordt gevuld. Vervolgens vindt de versleuteling plaats. Op basis van de systeemprestaties kan de aanvaller bepalen of hij een volledige of gedeeltelijke versleuteling van bestanden wil uitvoeren.

De onderzoekers stellen dat de aanvallers via het benchmarken maximale schade in zo min mogelijk tijd kunnen aanrichten, en tegelijkertijd detectie door middel van hoge systeembelasting voorkomen. Cisco merkt op dat Kraken cross-platform ransomware is en werkt op Windows, Linux en VMware ESXi. Infecties zijn waargenomen in de Verenigde Staten, het Verenigd Koninkrijk, Canada, Denemarken, Panama en Koeweit.