Investigadores de Cisco Talos han identificado a Kraken, un grupo de ransomware de habla rusa que surgió a principios de 2025 del cártel HelloKitty, realizando ataques de caza mayor y extorsión doble. El grupo ahora apunta a entornos empresariales con encriptadores multiplataforma para Windows, Linux y sistemas VMware ESXi. Los ataques observados en agosto de 2025 explotaron vulnerabilidades SMB para el acceso inicial.
El ransomware Kraken apareció por primera vez a principios de 2025 y se cree que evolucionó del cártel de ransomware HelloKitty, reutilizando infraestructura similar, formatos de notas de rescate y métodos de objetivo. Cisco Talos observó ataques en agosto de 2025 donde los actores de amenazas explotaron vulnerabilidades de Server Message Block (SMB) en servidores expuestos a internet para obtener acceso inicial. Luego, recolectaron credenciales de administrador y reingresaron a los entornos a través de Remote Desktop Protocol (RDP), utilizando herramientas como Cloudflared para persistencia y SSH Filesystem (SSHFS) para la exfiltración de datos.
El ransomware emplea algoritmos de encriptación RSA-4096 y ChaCha20, con opciones de línea de comandos para encriptación parcial o completa de unidades, bases de datos SQL, recursos compartidos en red y máquinas virtuales Hyper-V. Una característica clave es su benchmarking de encriptación, donde el malware ejecuta pruebas de rendimiento en la máquina de la víctima antes de la encriptación para optimizar la velocidad y evitar la detección por inestabilidad del sistema. Los archivos encriptados reciben la extensión .zpsc, y se deja una nota de rescate llamada readme_you_ws_hacked.txt, exigiendo hasta un millón de USD en Bitcoin a una billetera especificada.
La variante de Windows es un ejecutable de 32 bits, escrito en C++ con posible ofuscación basada en Golang, incluyendo técnicas anti-sandbox como retrasos en la ejecución y eliminación de puntos de restauración. Desactiva la redirección de sistema de archivos WoW64 para acceder a directorios protegidos y apaga los servicios de Backup de Windows. Las variantes de Linux y ESXi son binarios ELF de 64 bits que detectan la plataforma usando comandos como esxcli y uname. En servidores ESXi, Kraken termina las máquinas virtuales en ejecución antes de encriptar archivos y usa un script bash para eliminar registros, historial y su propio binario.
Kraken mantiene lazos con HelloKitty, evidentes en estructuras compartidas de notas de rescate y menciones en su portal de filtración de datos. En septiembre de 2025, el grupo lanzó 'The Last Haven Board', un foro subterráneo para ciberdelincuentes, respaldado por operadores de HelloKitty y WeaCorp. Las víctimas abarcan geografías incluyendo Estados Unidos, Reino Unido, Canadá, Dinamarca, Panamá y Kuwait, indicando un objetivo oportunista. Cisco proporciona detección vía Snort SIDs 65479 y 65480, y firmas ClamAV Win.Ransomware.Kraken-10056931-0 y Unix.Ransomware.Kraken-10057031-0.