Pesquisadores da Cisco Talos identificaram o Kraken, um grupo de ransomware de língua russa que surgiu no início de 2025 do cartel HelloKitty, realizando ataques de caça grande e extorsão dupla. O grupo agora visa ambientes empresariais com encriptadores multiplataforma para Windows, Linux e sistemas VMware ESXi. Ataques observados em agosto de 2025 exploraram vulnerabilidades SMB para acesso inicial.
O ransomware Kraken surgiu pela primeira vez no início de 2025 e acredita-se que evoluiu do cartel de ransomware HelloKitty, reutilizando infraestrutura similar, formatos de notas de resgate e métodos de direcionamento. A Cisco Talos observou ataques em agosto de 2025 onde atores de ameaças exploraram vulnerabilidades do Server Message Block (SMB) em servidores expostos à internet para obter acesso inicial. Em seguida, colheram credenciais de administrador e reentraram nos ambientes via Remote Desktop Protocol (RDP), usando ferramentas como Cloudflared para persistência e SSH Filesystem (SSHFS) para exfiltração de dados.
O ransomware emprega algoritmos de encriptação RSA-4096 e ChaCha20, com opções de linha de comando para encriptação parcial ou completa de drives, bancos de dados SQL, compartilhamentos de rede e máquinas virtuais Hyper-V. Uma característica chave é seu benchmarking de encriptação, onde o malware executa testes de desempenho na máquina da vítima antes da encriptação para otimizar a velocidade e evitar detecção por instabilidade do sistema. Arquivos encriptados recebem a extensão .zpsc, e uma nota de resgate chamada readme_you_ws_hacked.txt é deixada, exigindo até um milhão de USD em Bitcoin para uma carteira especificada.
A variante do Windows é um executável de 32 bits, escrito em C++ com possível ofuscação baseada em Golang, incluindo técnicas anti-sandbox como atrasos de execução e exclusão de pontos de restauração. Ele desativa a redireção de sistema de arquivos WoW64 para acessar diretórios protegidos e desliga os serviços de Backup do Windows. Variantes Linux e ESXi são binários ELF de 64 bits que detectam a plataforma usando comandos como esxcli e uname. Em servidores ESXi, o Kraken encerra máquinas virtuais em execução antes de encriptar arquivos e usa um script bash para remover logs, histórico e seu próprio binário.
O Kraken mantém laços com o HelloKitty, evidentes em estruturas compartilhadas de notas de resgate e menções em seu portal de vazamento de dados. Em setembro de 2025, o grupo lançou 'The Last Haven Board', um fórum subterrâneo para cibercriminosos, apoiado por operadores do HelloKitty e WeaCorp. As vítimas abrangem geografias incluindo Estados Unidos, Reino Unido, Canadá, Dinamarca, Panamá e Kuwait, indicando direcionamento oportunista. A Cisco fornece detecção via Snort SIDs 65479 e 65480, e assinaturas ClamAV Win.Ransomware.Kraken-10056931-0 e Unix.Ransomware.Kraken-10057031-0.