لقد حدد باحثو Cisco Talos مجموعة برمجيات الفدية الناطقة بالروسية Kraken، التي ظهرت في أوائل عام 2025 من كارتل HelloKitty، وتقوم بشن هجمات صيد كبير وابتزاز مزدوج. تستهدف المجموعة الآن بيئات المؤسسات بأدوات تشفير عابرة للمنصات لأنظمة Windows وLinux وVMware ESXi. الهجمات المرصودة في أغسطس 2025 استغلت ثغرات SMB للوصول الأولي.
ظهرت برمجية الفدية Kraken لأول مرة في أوائل عام 2025، ويُعتقد أنها تطورت من كارتل برمجيات الفدية HelloKitty، مع إعادة استخدام بنية تحتية مشابهة وصيغ مذكرات الفدية وطرق الاستهداف. راقبت Cisco Talos هجمات في أغسطس 2025 حيث استغل مهاجمو التهديدات ثغرات Server Message Block (SMB) على الخوادم المعرضة للإنترنت للحصول على الوصول الأولي. ثم جمعوا بيانات اعتماد المسؤولين وأعادوا الدخول إلى البيئات عبر بروتوكول سطح المكتب عن بعد (RDP)، مستخدمين أدوات مثل Cloudflared للاستمرارية وSSH Filesystem (SSHFS) لاستخراج البيانات.
تستخدم برمجية الفدية خوارزميات تشفير RSA-4096 وChaCha20، مع خيارات سطر أوامر للتشفير الجزئي أو الكامل للأقراص وقواعد بيانات SQL والمشاركات الشبكية وآلات افتراضية Hyper-V. ميزة رئيسية هي معايرة التشفير، حيث تقوم البرمجية الضارة بتشغيل اختبارات أداء على جهاز الضحية قبل التشفير لتحسين السرعة وتجنب الكشف بسبب عدم استقرار النظام. تتلقى الملفات المشفرة الامتداد .zpsc، ويتم إسقاط مذكرة فدية تُدعى readme_you_ws_hacked.txt، تطالب بما يصل إلى مليون دولار أمريكي في البيتكوين إلى محفظة محددة.
النسخة الخاصة بـWindows هي ملف تنفيذي 32 بت، مكتوب بلغة C++ مع إخفاء محتمل قائم على Golang، بما في ذلك تقنيات مضادة للصناديق الرملية مثل تأخيرات التنفيذ وحذف نقاط الاستعادة. تعطل إعادة توجيه نظام الملفات WoW64 للوصول إلى الدلائل المحمية وتوقف خدمات النسخ الاحتياطي في Windows. النسخ Linux وESXi هي ملفات ثنائية ELF 64 بت تكتشف المنصة باستخدام أوامر مثل esxcli وuname. على خوادم ESXi، ينهي Kraken الآلات الافتراضية الجارية قبل تشفير الملفات ويستخدم سكريبت bash لإزالة السجلات والتاريخ وملفه الثنائي الخاص.
يحافظ Kraken على روابط مع HelloKitty، واضحة في هياكل مذكرات الفدية المشتركة والإشارات على بوابة تسرب البيانات الخاصة به. في سبتمبر 2025، أطلقت المجموعة 'The Last Haven Board'، منتدى تحت الأرض للمجرمين الإلكترونيين، مدعوم من مشغلي HelloKitty وWeaCorp. تمتد الضحايا جغرافيًا بما في ذلك الولايات المتحدة والمملكة المتحدة وكندا والدنمارك وباناما والكويت، مما يشير إلى استهداف فرصي. توفر Cisco كشفًا عبر Snort SIDs 65479 و65480، وتوقيعات ClamAV Win.Ransomware.Kraken-10056931-0 وUnix.Ransomware.Kraken-10057031-0.