Cisco Talosの研究者らは、2025年初頭にHelloKittyカルテルから出現したロシア語話者のランサムウェアグループKrakenを特定しました。このグループは、大規模狩猟と二重脅迫攻撃を実施しています。グループは現在、Windows、Linux、VMware ESXiシステム向けのクロスプラットフォーム暗号化ツールでエンタープライズ環境を標的にしています。2025年8月に観測された攻撃では、SMBの脆弱性を初期アクセスに悪用しました。
Krakenランサムウェアは2025年初頭に初めて表面化し、HelloKittyランサムウェアカルテルから進化したものとみられ、同様のインフラ、身代金メモ形式、標的付け手法を再利用しています。Cisco Talosは2025年8月の攻撃を観測し、脅威アクターがインターネットに公開されたサーバー上のServer Message Block (SMB)脆弱性を悪用して初期アクセスを獲得しました。その後、管理者資格情報を収集し、Remote Desktop Protocol (RDP)経由で環境に再侵入し、Cloudflaredなどのツールで永続性を確保し、SSH Filesystem (SSHFS)でデータ抽出を行いました。
ランサムウェアはRSA-4096とChaCha20暗号化アルゴリズムを使用し、ドライブ、SQLデータベース、ネットワーク共有、Hyper-V仮想マシンの部分または完全暗号化のためのコマンドラインオプションを備えています。主要な機能は暗号化ベンチマークで、マルウェアは暗号化前に被害者マシンでパフォーマンステストを実行し、速度を最適化し、システム不安定による検知を回避します。暗号化されたファイルには.zpsc拡張子が付けられ、readme_you_ws_hacked.txtという身代金メモがドロップされ、指定されたウォレットに最大100万米ドルのビットコインを要求します。
Windowsバリアントは32ビット実行ファイルで、C++で記述され、Golangベースの難読化が可能で、サンドボックス対策として実行遅延や復元ポイントの削除を含みます。WoW64ファイルシステムリダイレクトを無効化して保護ディレクトリにアクセスし、Windowsバックアップサービスをオフにします。LinuxおよびESXiバリアントは64ビットELFバイナリで、esxcliやunameなどのコマンドでプラットフォームを検知します。ESXiサーバーでは、Krakenはファイル暗号化前に実行中の仮想マシンを終了し、bashスクリプトでログ、履歴、および自身のバイナリを削除します。
KrakenはHelloKittyとのつながりを維持しており、共有された身代金メモ構造とデータ漏洩ポータルでの言及から明らかです。2025年9月、グループはHelloKittyオペレーターとWeaCorpの支援を受けたサイバー犯罪者向け地下フォーラム'The Last Haven Board'を立ち上げました。被害者は米国、英国、カナダ、デンマーク、パナマ、クウェートを含む地理的範囲に及び、機会主義的な標的付けを示しています。CiscoはSnort SIDs 65479および65480、およびClamAVシグネチャWin.Ransomware.Kraken-10056931-0とUnix.Ransomware.Kraken-10057031-0で検知を提供します。