Cisco Talos-forskare har identifierat Kraken, en rysktalande ransomwaregrupp som dök upp i början av 2025 från HelloKitty-kartellen, och som genomför big-game-hunting- och dubbelutpressningsattacker. Gruppen riktar nu in sig på företagsmiljöer med plattformsövergripande krypterare för Windows, Linux och VMware ESXi-system. Attacker som observerades i augusti 2025 utnyttjade SMB-sårbarheter för initial åtkomst.
Kraken ransomware dök upp för första gången i början av 2025 och tros ha utvecklats från HelloKitty ransomware-kartellen, med återanvändning av liknande infrastruktur, lösenmeddelandeformat och målinriktningsmetoder. Cisco Talos observerade attacker i augusti 2025 där hotaktörer utnyttjade sårbarheter i Server Message Block (SMB) på internetexponerade servrar för att få initial åtkomst. De samlade sedan administratörsuppgifter och återinträde i miljöer via Remote Desktop Protocol (RDP), med verktyg som Cloudflared för persistens och SSH Filesystem (SSHFS) för dataexfiltrering.
Ransomware använder RSA-4096- och ChaCha20-krypteringsalgoritmer, med kommandoradsalternativ för partiell eller full kryptering av enheter, SQL-databaser, nätverksdelningar och Hyper-V-virtuella maskiner. En nyckelfunktion är dess krypteringsbenchmarking, där skadlig kod kör prestandatester på offrets maskin innan kryptering för att optimera hastighet och undvika detektering från systeminstabilitet. Krypterade filer får tillägget .zpsc, och en lösenmeddelande med namnet readme_you_ws_hacked.txt släpps, med krav på upp till en miljon USD i Bitcoin till en specificerad plånbok.
Windows-varianten är en 32-bitars exekverbar fil, skriven i C++ med möjlig Golang-baserad ofuskering, inklusive anti-sandbox-tekniker som exekveringsfördröjningar och radering av återställningspunkter. Den inaktiverar WoW64-filsystemomdirigering för att komma åt skyddade kataloger och stänger av Windows Backup-tjänster. Linux- och ESXi-varianter är 64-bitars ELF-binärer som detekterar plattformen med kommandon som esxcli och uname. På ESXi-servrar avslutar Kraken körande virtuella maskiner innan filer krypteras och använder ett bash-skript för att ta bort loggar, historik och sin egen binär.
Kraken upprätthåller band till HelloKitty, tydligt i delade lösenmeddelandestrukturer och omnämnanden på dess dataläckageportal. I september 2025 lanserade gruppen 'The Last Haven Board', ett underjordiskt forum för cyberbrottslingar, stödd av HelloKitty-operatörer och WeaCorp. Offren spänner över geografier inklusive USA, Storbritannien, Kanada, Danmark, Panama och Kuwait, vilket indikerar opportunistisk inriktning. Cisco tillhandahåller detektering via Snort SIDs 65479 och 65480, samt ClamAV-signaturer Win.Ransomware.Kraken-10056931-0 och Unix.Ransomware.Kraken-10057031-0.