Kraken ransomware, насочен към Windows, Linux и VMware ESXi среди, демонстрира напреднали техники за оценка на машините преди криптиране. Според изследователи от Cisco Talos, малуерът използва временни файлове, за да избере между пълно или частично криптиране, оптимизирайки атаката спрямо капацитета на системата.

Kraken се появи в началото на 2025 г. като продължение на HelloKitty ransomware, която стана известна през 2021 г. След изтичането на изходния код на HelloKitty, Kraken се ребрандира и продължава да извършва big-game hunting атаки с кражба на данни за последващо двойно изнудване.

География и инфраструктура на атаките

На подземните  сайтове на групата са изброени жертви от САЩ, Великобритания, Канада, Панама, Кувейт и Дания.

Освен операциите с ransomware, Kraken стартира и нов киберпрестъпен форум – “The Last Haven Board”, за улесняване на т.нар. сигурна комуникация и обмен на информация между участниците.

Верига на атаката

Изследователите на Cisco описват типичната последователност на атаката:

1. Първоначален достъп – чрез експлоатация на уязвимости върху интернет-видими ресурси.

2. Извличане на администраторски акаунти – повторен достъп чрез RDP и използване на инструменти като Cloudflared и SSHFS за тунелиране и извличане на данни.

3. Латерално придвижване – чрез Cloudflare тунели и RDP Kraken операторите проникват във всички достъпни машини.

4. Подготовка за криптиране – преди започване на реалното криптиране, малуерът изтрива shadow копия, кошчето и спира бекъп услуги.

Интелигентно криптиране и модули

Kraken провежда тест на производителността на всяка машина, като създава временен файл, криптира го, измерва времето и избира дали да приложи пълно или частично криптиране.

Windows модулите включват:

• SQL бази данни – криптиране на Microsoft SQL файлове чрез анализ на регистъра.

• Мрежови споделени ресурси – криптиране на всички достъпни споделени папки, с изключение на ADMIN$ и IPC$.

• Локални устройства – сканиране и криптиране на локални, отдалечени и сменяеми устройства чрез отделни worker threads.

• Hyper-V – спиране на виртуални машини и криптиране на свързани дискови файлове.

Linux / ESXi версия:

• Форсирано прекратяване на работещи виртуални машини, криптиране на дисковете с многопоточен подход и същата логика за benchmarking.

След приключване, ‘bye_bye.sh’ скриптът изтрива всички логове, история на shell и самия зловреден бинарен файл. Криптираните файлове получават разширение .zpsc, а в директориите се оставя бележка за откуп ‘readme_you_ws_hacked.txt’.

Финансови изисквания и IoC

Cisco е документирал случай с искане на откуп от $1 милион в Bitcoin.

Kraken ransomware демонстрира висока степен на интелигентност чрез адаптивно криптиране спрямо капацитета на системите и използване на нови инструменти за проникване и ексфилтрация. Комбинацията от SMB експлоатации, Cloudflared/SSHFS тунели и multi-threaded криптиране подчертава тенденцията ransomware групите да се специализират в големи корпоративни цели с двойно изнудване.