Les chercheurs de Cisco Talos ont identifié Kraken, un groupe de ransomware russophone qui a émergé au début de 2025 du cartel HelloKitty, menant des attaques de chasse au gros gibier et d'extorsion double. Le groupe cible désormais les environnements d'entreprise avec des encryptants multiplateformes pour Windows, Linux et les systèmes VMware ESXi. Les attaques observées en août 2025 ont exploité des vulnérabilités SMB pour l'accès initial.
Le ransomware Kraken a fait surface pour la première fois au début de 2025 et est soupçonné d'avoir évolué du cartel de ransomware HelloKitty, réutilisant une infrastructure similaire, des formats de notes de rançon et des méthodes de ciblage. Cisco Talos a observé des attaques en août 2025 où les acteurs de menaces ont exploité des vulnérabilités Server Message Block (SMB) sur des serveurs exposés à Internet pour obtenir un accès initial. Ils ont ensuite récolté des identifiants d'administrateur et réentrée dans les environnements via Remote Desktop Protocol (RDP), en utilisant des outils comme Cloudflared pour la persistance et SSH Filesystem (SSHFS) pour l'exfiltration de données.
Le ransomware utilise les algorithmes de chiffrement RSA-4096 et ChaCha20, avec des options en ligne de commande pour un chiffrement partiel ou complet des disques, bases de données SQL, partages réseau et machines virtuelles Hyper-V. Une fonctionnalité clé est son benchmarking de chiffrement, où le malware exécute des tests de performance sur la machine de la victime avant le chiffrement pour optimiser la vitesse et éviter la détection due à l'instabilité du système. Les fichiers chiffrés reçoivent l'extension .zpsc, et une note de rançon nommée readme_you_ws_hacked.txt est déposée, exigeant jusqu'à un million de dollars USD en Bitcoin vers un portefeuille spécifié.
La variante Windows est un exécutable 32 bits, écrit en C++ avec une possible obfuscation basée sur Golang, incluant des techniques anti-sandbox comme des retards d'exécution et la suppression de points de restauration. Elle désactive la redirection de système de fichiers WoW64 pour accéder aux répertoires protégés et arrête les services de Sauvegarde Windows. Les variantes Linux et ESXi sont des binaires ELF 64 bits qui détectent la plateforme en utilisant des commandes comme esxcli et uname. Sur les serveurs ESXi, Kraken termine les machines virtuelles en cours avant de chiffrer les fichiers et utilise un script bash pour supprimer les journaux, l'historique et son propre binaire.
Kraken maintient des liens avec HelloKitty, évidents dans les structures partagées de notes de rançon et les mentions sur son portail de fuite de données. En septembre 2025, le groupe a lancé 'The Last Haven Board', un forum clandestin pour cybercriminels, soutenu par les opérateurs de HelloKitty et WeaCorp. Les victimes s'étendent à des géographies incluant les États-Unis, le Royaume-Uni, le Canada, le Danemark, le Panama et le Koweït, indiquant un ciblage opportuniste. Cisco fournit une détection via Snort SIDs 65479 et 65480, et les signatures ClamAV Win.Ransomware.Kraken-10056931-0 et Unix.Ransomware.Kraken-10057031-0.