Peneliti Cisco Talos telah mengidentifikasi Kraken, kelompok ransomware berbahasa Rusia yang muncul pada awal 2025 dari kartel HelloKitty, melakukan serangan big-game-hunting dan pemerasan ganda. Kelompok ini kini menargetkan lingkungan perusahaan dengan enkripsi lintas platform untuk Windows, Linux, dan sistem VMware ESXi. Serangan yang diamati pada Agustus 2025 mengeksploitasi kerentanan SMB untuk akses awal.
Ransomware Kraken pertama kali muncul pada awal 2025 dan diyakini berevolusi dari kartel ransomware HelloKitty, menggunakan kembali infrastruktur serupa, format catatan tebusan, dan metode penargetan. Cisco Talos mengamati serangan pada Agustus 2025 di mana pelaku ancaman mengeksploitasi kerentanan Server Message Block (SMB) pada server yang terpapar internet untuk mendapatkan akses awal. Kemudian, mereka memanen kredensial administrator dan memasuki kembali lingkungan melalui Remote Desktop Protocol (RDP), menggunakan alat seperti Cloudflared untuk persistensi dan SSH Filesystem (SSHFS) untuk ekstraksi data.
Ransomware ini menggunakan algoritma enkripsi RSA-4096 dan ChaCha20, dengan opsi baris perintah untuk enkripsi parsial atau penuh pada drive, basis data SQL, berbagi jaringan, dan mesin virtual Hyper-V. Fitur kunci adalah benchmarking enkripsi, di mana malware menjalankan tes performa pada mesin korban sebelum enkripsi untuk mengoptimalkan kecepatan dan menghindari deteksi dari ketidakstabilan sistem. File yang dienkripsi menerima ekstensi .zpsc, dan catatan tebusan bernama readme_you_ws_hacked.txt ditinggalkan, menuntut hingga satu juta USD dalam Bitcoin ke dompet yang ditentukan.
Varian Windows adalah executable 32-bit, ditulis dalam C++ dengan kemungkinan ofusksi berbasis Golang, termasuk teknik anti-sandbox seperti penundaan eksekusi dan penghapusan titik pemulihan. Ia menonaktifkan pengalihan filesystem WoW64 untuk mengakses direktori terlindungi dan mematikan layanan Backup Windows. Varian Linux dan ESXi adalah binari ELF 64-bit yang mendeteksi platform menggunakan perintah seperti esxcli dan uname. Pada server ESXi, Kraken menghentikan mesin virtual yang berjalan sebelum mengenkripsi file dan menggunakan skrip bash untuk menghapus log, riwayat, dan binari sendiri.
Kraken mempertahankan hubungan dengan HelloKitty, terlihat dari struktur catatan tebusan yang dibagikan dan penyebutan pada portal kebocoran datanya. Pada September 2025, kelompok ini meluncurkan 'The Last Haven Board', forum bawah tanah untuk penjahat siber, didukung oleh operator HelloKitty dan WeaCorp. Korban meliputi wilayah geografis termasuk Amerika Serikat, Inggris, Kanada, Denmark, Panama, dan Kuwait, menunjukkan penargetan oportunistik. Cisco menyediakan deteksi melalui Snort SIDs 65479 dan 65480, serta tanda tangan ClamAV Win.Ransomware.Kraken-10056931-0 dan Unix.Ransomware.Kraken-10057031-0.