Onderzoekers hebben een ransomware-variant geïdentificeerd die eerst de prestaties van een systeem test voordat het bestanden versleutelt. Cisco meldt dat deze functie zelden voorkomt bij ransomware. De Kraken-ransomware verspreidt zich onder andere via kwetsbare SMB-diensten. Na toegang tot een netwerk stelen de aanvallers eerst gegevens, waarna de versleuteling volgt.

Om de versleuteling te versnellen, voert Kraken een benchmark uit op het systeem. Dit gebeurt door een tijdelijk testbestand met willekeurige data aan te maken. De aanvaller kan vervolgens beslissen of volledige of gedeeltelijke versleuteling nodig is, afhankelijk van de systeemprestaties. Deze methode stelt aanvallers in staat om snel maximale schade aan te richten en detectie door hoge systeembelasting te vermijden. Cisco wijst erop dat Kraken cross-platform is en werkt op Windows, Linux en VMware ESXi. Infecties zijn gemeld in de VS, het VK, Canada, Denemarken, Panama en Koeweit.