Самый умный вымогатель в истории. Kraken тестирует вашу систему, выбирает режим атаки и уничтожает все бэкапы

leer en español

Kraken HelloKitty Talos вымогатели SMB Cloudflared ESXi
Самый умный вымогатель в истории. Kraken тестирует вашу систему, выбирает режим атаки и уничтожает все бэкапы
Kraken HelloKitty Talos вымогатели SMB Cloudflared ESXi

Группа Kraken всего за несколько месяцев зашифровала компании в 6 странах.

image

Специалисты Cisco Talos обнаружили активную волну атак с использованием нового вымогательского ПО под названием Kraken. Группа начала деятельность в феврале 2025 года и использует методы двойного вымогательства, не ограничиваясь конкретными отраслями. Среди пострадавших — компании из США, Великобритании, Канады, Дании, Панамы и Кувейта.

Kraken заражает Windows, Linux и VMware ESXi, применяя отдельные версии шифровальщика для каждой системы. Программа использует расширение файлов .zpsc и оставляет записку «readme_you_ws_hacked.txt», угрожая публикацией данных на своём сайте утечек. В одном случае злоумышленники потребовали выкуп около 1 млн долларов в биткоинах.

В рамках одной из атак злоумышленники использовали уязвимость в SMB для первоначального доступа, затем закрепились в системе с помощью инструмента тунеллирования Cloudflared, а для кражи данных задействовали утилиту SSHFS. После получения привилегий они перемещались по сети через RDP и разворачивали шифровальщик на других машинах.

Kraken запускается со множеством параметров, включая полное или частичное шифрование, выбор размера блоков, задержку выполнения и тест производительности. Перед шифрованием программа оценивает мощность системы и подбирает наиболее эффективный режим — это помогает нанести максимальный ущерб, не вызвав перегрузку и подозрения.

На Windows Kraken реализован как 32-битное приложение на C++, возможно с упаковкой на Go. Он отключает редирект файловой системы WoW64, получает права отладки, останавливает службы резервного копирования, удаляет точки восстановления и очищает корзину. В системе остаются доступными лишь те каталоги, которые позволяют жертве связаться с оператором.

Шифровальщик параллельно атакует SQL-базы, локальные диски, сетевые ресурсы и виртуальные машины Hyper-V, используя команды PowerShell для остановки ВМ и получения путей к их хранилищам. Он избегает системных папок и исполняемых файлов, чтобы сохранить работоспособность ОС.

Linux/ESXi-версия написана на C++ и использует crosstool-NG. Вначале программа определяет тип системы, адаптируя поведение под ESXi, Nutanix, Ubuntu или Synology. В среде ESXi она завершает работу виртуальных машин перед шифрованием. Также применяются обходные механизмы анализа: демон-режим, игнор сигналов SIGCHLD и SIGHUP, а после завершения шифрования запускается скрипт очистки следов, удаляющий логи, историю shell и сам бинарник.

Kraken ведёт активную деятельность в даркнете. На своём сайте группа анонсировала появление подпольного форума «The Last Haven Board», который позиционируется как анонимная платформа для киберпреступного сообщества. По заявлению модераторов, к проекту присоединились прежние участники HelloKitty и группа WeaCorp, занимающаяся покупкой эксплойтов. Именно HelloKitty, по данным Talos, послужила источником для создания Kraken: обе группы используют идентичные названия записок о выкупе, а также визуальные элементы блога.

Kraken представляет собой одну из самых технически продвинутых вымогательских программ на сегодняшний день: с возможностью оценки производительности системы перед атакой, адаптацией под разные платформы и использованием сложных методов сокрытия следов. Помимо продуманной архитектуры самого шифровальщика, группа демонстрирует активность в даркнете, продвигая собственную платформу и получая поддержку от известных в киберпреступной среде игроков. С учётом масштабов, охвата и темпов развития, Kraken может стать одним из главных угроз корпоративным инфраструктурам в ближайшее время.