Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Kraken: кроссплатформенный вымогатель, использующий SMB и двойное вымогательство

22
4 мин
Август 2025 года ознаменовался обострением активности группировки Kraken — предполагаемого продолжателя операций картеля HelloKitty. Группа проявила высокую степень технической зрелости: оппортунистическая охота на «крупную дичь», кроссплатформенные шифровальщики и комбинированная тактика «украсть‑и‑зашифровать» (double extortion). По имеющимся данным, атака Kraken развивается по типичной для современных групп сценарию, но с рядом отличительных черт: Kraken выделяется продуманной архитектурой и набором функций, ориентированных на корпоративные среды. Kraken демонстрирует оппортунистический подход: группа не ограничивает себя конкретными секторами и выбирает жертв по уязвимости и уровню доступа. Комбинация эксплойтов SMB и дальнейшего использования легитимных учётных данных указывает на гибридную модель проникновения, где автоматические сканеры соседствуют с ручной постэксплуатацией. Для снижения рисков заражения и минимизации последствий инцидента следует принять следующие меры: Kraken
Оглавление

Август 2025 года ознаменовался обострением активности группировки Kraken — предполагаемого продолжателя операций картеля HelloKitty. Группа проявила высокую степень технической зрелости: оппортунистическая охота на «крупную дичь», кроссплатформенные шифровальщики и комбинированная тактика «украсть‑и‑зашифровать» (double extortion).

Краткое резюме

  • Происхождение: связывают с картелем HelloKitty; русскоязычная группа.
  • Начало компрометации: эксплуатация уязвимостей Server Message Block (SMB) на публично доступных серверах.
  • Инструменты закрепления и эксфильтрации: Cloudflared и SSHFS.
  • Цели: широкие — не таргетируют конкретные отрасли; зафиксированы жертвы в США, Великобритании, Канаде и Кувейте.
  • Тактика: комбинированный доступ через уязвимости и последующее повторное использование валидных админ‑учётных записей (RDP/remote desktop).

Как происходит атака (цепочка заражения)

По имеющимся данным, атака Kraken развивается по типичной для современных групп сценарию, но с рядом отличительных черт:

  • Эксплуатация уязвимостей SMB на серверах, доступных из Интернета — первичный вектор входа.
  • Получение действительных административных учётных данных и повторный вход в окружение жертвы через RDP.
  • Закрепление внутри сети с помощью Cloudflared (туннелирование/обратные соединения) и подготовка каналов для вывода данных.
  • Эксфильтрация конфиденциальных данных с использованием SSHFS перед запуском шифрования.
  • Двойное вымогательство: публикация/угроза публикации украденных данных как средство давления для выкупа.

Технические особенности шифровальщика

Kraken выделяется продуманной архитектурой и набором функций, ориентированных на корпоративные среды.

Общие характеристики

  • Наличие множества опций командной строки — злоумышленники могут гибко выбирать режимы работы (полное/частичное шифрование, тестирование и т.д.).
  • Перед запуском шифрования реализован *machine test* — проверка характеристик машины (редкая, но полезная функция для определения целесообразности атаки).
  • Возможность нацеливания на специфичные типы данных: базы данных SQL, общие сетевые ресурсы и т. п.
  • Использование техник антианализа и механизмов предотвращения повторного шифрования (re‑infection check).

Windows‑вариант

  • 32‑битный исполняемый файл, часто упакован с помощью packer на базе Golang.
  • Добавляет расширение .zpsc к зашифрованным файлам.
  • Включает опции тестирования производительности до фактического шифрования.
  • Шифрование распараллелено по четырём потокам/модулям: базы данных SQL, сетевые ресурсы, локальный диск и Hyper‑V.
  • Антианалитические приёмы усложняют судебно‑технический анализ и детектирование.

Linux и VMware ESXi‑варианты

  • 64‑битные бинарники, собранные с использованием crosstool‑NG версии 1.26.0.
  • Поддерживается как полное, так и частичное шифрование; многопоточное исполнение и тесты производительности имеются и здесь.
  • Применяются техники запутывания потока управления (control‑flow obfuscation) и использование демонических процессов для уклонения от детектирования и анализа.

Тактические и оперативные наблюдения

Kraken демонстрирует оппортунистический подход: группа не ограничивает себя конкретными секторами и выбирает жертв по уязвимости и уровню доступа. Комбинация эксплойтов SMB и дальнейшего использования легитимных учётных данных указывает на гибридную модель проникновения, где автоматические сканеры соседствуют с ручной постэксплуатацией.

Индикаторы компрометации и признаки активности

  • Необычные подключения/туннели с использованием Cloudflared.
  • Монтирование / использование SSHFS для удалённого копирования больших объёмов данных.
  • Появление файлов с расширением .zpsc.
  • Неожиданные процессы‑демоны и признаки обфускации в бинарных файлах на Linux/ESXi.
  • Повышенная активность по доступу к сетевым шарингам и базам данных перед шифрованием.

Рекомендации по защите

Для снижения рисков заражения и минимизации последствий инцидента следует принять следующие меры:

  • Закрыть/ограничить доступ к публичному SMB. Применить последние патчи и блокировать ненужные порты на периферийных устройствах.
  • Ограничить доступ по RDP: VPN, jump‑hosts, ограничение по IP, включение MFA для администраторских учётных записей.
  • Мониторить и блокировать подозрительные туннели и необъявленные инсталляции Cloudflared, а также нестандартное использование SSHFS.
  • Регулярные офлайн‑резервные копии и их тестовое восстановление; отделение бэкапов от основной сети.
  • EDR/NGAV с детекцией поведения (повышенный доступ к сетевым шарам, массовое чтение баз данных, аномалии процессов).
  • Регулярный аудит учётных записей, принципы least privilege и своевременная ротация паролей/ключей.

Вывод

Kraken — это пример современной, технически продвинутой группировки, сочетающей автоматические векторы проникновения (эксплуатация SMB) и аккуратно отработанные ручные операции внутри сети. Кроссплатформенность шифровальщика и присутствие механизмов уклонения делают эту угрозу серьезной для корпоративных сред разных отраслей и географий. Комплексная стратегия защиты — патчи, сегментация, мониторинг туннелей и контроль за поведением процессов — остаётся ключевой в противодействии таким атакам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Kraken: кроссплатформенный вымогатель, использующий SMB и двойное вымогательство".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Морское судоходство
74,5 тыс интересуются