Τον Αύγουστο του 2025, εμφανίστηκε μια νέα απειλή ransomware με δυνατότητες που άλλαξαν θεμελιωδώς τον τρόπο με τον οποίο οι οργανισμοί πρέπει να προσεγγίζουν την ασφάλεια των επιχειρήσεων.
Η Kraken, μια ρωσόφωνη ομάδα κυβερνοεγκληματικών, άρχισε να εκτελεί εξελιγμένες επιθέσεις με στόχο μεγάλους οργανισμούς σε πολλές ηπείρους.
Αυτό που κάνει το Kraken ιδιαίτερα επικίνδυνο είναι η ικανότητά του να επιτίθεται σε συστήματα Windows, Linux και VMware ESXi με εργαλεία ειδικά για την πλατφόρμα, καθιστώντας το μία από τις πρώτες πραγματικά διαπλατφορμικές απειλές ransomware που κέρδισαν ευρεία φήμη στους επιχειρηματικούς κύκλους.
Η ομάδα Kraken φαίνεται να συνδέεται με τη λειτουργία ransomware HelloKitty, με τους ερευνητές ασφαλείας να υποπτεύονται ότι η ομάδα προέκυψε από τα απομεινάρια αυτής της προηγούμενης εγκληματικής οργάνωσης.
.webp.png)
Αυτή η σύνδεση γίνεται εμφανής μέσω κοινών ονομάτων αρχείων σημειώσεων λύτρων και ρητών αναφορών στον ιστότοπο διαρροής της ομάδας.
.webp.png)
Τον Σεπτέμβριο του 2025, ο Kraken ανακοίνωσε ένα νέο υπόγειο φόρουμ με το όνομα «The Last Haven Board», που σχεδιάστηκε για να δημιουργήσει έναν ασφαλή κόμβο επικοινωνίας για την κοινότητα των εγκληματιών στον κυβερνοχώρο.
Συγκεκριμένα, οι χειριστές της HelloKitty ανακοίνωσαν την υποστήριξή τους σε αυτή τη νέα πλατφόρμα, ενισχύοντας τη σύνδεση μεταξύ αυτών των ομάδων.
Αναλυτές ασφαλείας Cisco Talos αναγνωρισθείς Ο Kraken διεξάγει επιθέσεις διπλού εκβιασμού στις οποίες τα θύματα κρυπτογραφούνται και απειλούνται με δημοσίευση δεδομένων.
Η ομάδα χρησιμοποιεί μια εξελιγμένη μεθοδολογία επίθεσης πολλαπλών σταδίων που ξεκινά με την εκμετάλλευση ευπάθειας SMB σε διακομιστές που εκτίθενται στο διαδίκτυο.
.webp.jpeg)
Μόλις εισέλθουν σε ένα σύστημα, οι εισβολείς κλέβουν προνομιακά διαπιστευτήρια και τα χρησιμοποιούν για να διατηρήσουν μόνιμη πρόσβαση μέσω συνδέσεων πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας.
Για να δημιουργήσουν μακροπρόθεσμη παρουσία, οι εισβολείς αναπτύσσουν το Cloudflared για τη δημιουργία αντίστροφων σηράγγων και εργαλείων SSH Filesystem για εξαγωγή δεδομένων.
Πριν από την ανάπτυξη της κρυπτογράφησης, το ransomware εκτελεί μια μοναδική λειτουργία συγκριτικής αξιολόγησης για να μετρήσει πόσο γρήγορα μπορεί να λειτουργήσει στον υπολογιστή του θύματος χωρίς να προκαλεί άμεση ανίχνευση μέσω εξάντλησης πόρων του συστήματος.
Κρυπτογράφηση και ευελιξία γραμμής εντολών
Η τεχνική πολυπλοκότητα του Kraken γίνεται εμφανής μέσω των εκτεταμένων επιλογών της γραμμής εντολών. Το ransomware χρησιμοποιεί αλγόριθμους κρυπτογράφησης RSA-4096 και ChaCha20, παρέχοντας ισχυρή κρυπτογραφική προστασία.
Οι εισβολείς μπορούν να προσαρμόσουν τις επιθέσεις χρησιμοποιώντας παραμέτρους όπως καθυστερήσεις χρονικού ορίου, όρια μεγέθους αρχείου και επιλογές βάθους κρυπτογράφησης.
Για συστήματα Windows, η μορφή εντολών έχει ως εξής: Encryptor.exe –key -path .
Οι εκδόσεις Linux και ESXi χρησιμοποιούν δυαδικά αρχεία ELF με επιλογές όπως η εκτέλεση λειτουργίας δαίμονα και δυνατότητες απομακρυσμένου SSH.
Το ransomware διαθέτει λειτουργίες μερικής και πλήρους κρυπτογράφησης, επιτρέποντας στους εισβολείς να βελτιστοποιήσουν την ταχύτητα κρυπτογράφησης και τη μέγιστη ζημιά.
Συγκεκριμένα, το Kraken κρυπτογραφεί ενεργά βάσεις δεδομένων SQL και κοινόχρηστα στοιχεία δικτύου, ενώ παρακάμπτει αυτόματα κρίσιμα αρχεία συστήματος και καταλόγους Αρχείων Προγράμματος για να διατηρήσει τη λειτουργικότητα του συστήματος των θυμάτων για διαπραγματεύσεις για λύτρα.
