I ricercatori di Cisco Talos hanno rilevato un’ondata attiva di attacchi che utilizzano un nuovo ransomware chiamato Kraken. Il gruppo ha iniziato a operare nel febbraio 2025 e utilizza metodi di doppia estorsione , senza prendere di mira settori specifici. Tra le vittime figurano aziende di Stati Uniti, Regno Unito, Canada, Danimarca, Panama e Kuwait.

Kraken infetta i sistemi Windows, Linux e VMware ESXi , distribuendo versioni separate del ransomware per ciascun sistema. Il programma utilizza l’estensione .zpsc e lascia una nota, “readme_you_ws_hacked.txt“, minacciando di pubblicare i dati sul suo sito di fuga di notizie. In un caso, gli aggressori hanno chiesto un riscatto di circa 1 milione di dollari in Bitcoin.

In un attacco, gli aggressori hanno sfruttato una vulnerabilità SMB per ottenere l’accesso iniziale, quindi hanno preso piede nel sistema utilizzando lo strumento di tunneling di Cloudflare e hanno utilizzato l’utility SSHFS per rubare dati. Dopo aver ottenuto i privilegi, si sono spostati sulla rete tramite RDP e hanno distribuito ransomware su altre macchine.

Kraken funziona con una varietà di parametri, tra cui crittografia completa o parziale, selezione della dimensione dei blocchi, ritardo di esecuzione e test delle prestazioni. Prima della crittografia, il programma valuta la potenza del sistema e seleziona la modalità più efficiente, aiutando a infliggere il massimo danno senza causare sovraccarico o sospetti.

Su Windows, Kraken è implementato come un’applicazione C++ a 32 bit, possibilmente impacchettata in Go. Disattiva i reindirizzamenti del file system di WoW64, ottiene privilegi di debug, interrompe i servizi di backup, elimina i punti di ripristino e svuota il Cestino. Rimangono accessibili solo le directory che consentono alla vittima di contattare l’operatore.

Il ransomware attacca simultaneamente database SQL, unità locali, condivisioni di rete e macchine virtuali Hyper-V, utilizzando comandi PowerShell per arrestare le VM e ottenere i percorsi al loro storage. Evita le cartelle di sistema e i file eseguibili per preservare la funzionalità del sistema operativo.

La versione Linux/ESXi è scritta in C++ e utilizza crosstool-NG. Il programma rileva innanzitutto il tipo di sistema, adattando il suo comportamento a ESXi, Nutanix, Ubuntu o Synology. Negli ambienti ESXi, arresta le macchine virtuali prima della crittografia. Utilizza inoltre meccanismi di analisi di bypass: modalità demone, ignorando i segnali SIGCHLD e SIGHUP e, al termine della crittografia, esegue uno script di pulizia che elimina i log, la cronologia della shell e il binario stesso.

Kraken è attivo sul darkweb. Sul suo sito web, il gruppo ha annunciato la creazione di un forum underground, “The Last Haven Board“, che si propone come piattaforma anonima per la comunità dei criminali informatici. Secondo i moderatori, ex membri di HelloKitty e il gruppo WeaCorp, specializzato nell’acquisto di exploit, hanno aderito al progetto. Secondo Talos, HelloKitty è stata fonte di ispirazione per Kraken: entrambi i gruppi utilizzano nomi identici per le richieste di riscatto e immagini del blog.

Kraken è uno dei programmi ransomware tecnologicamente più avanzati oggi disponibili, in grado di valutare le prestazioni del sistema prima di attaccare, di adattarsi a diverse piattaforme e di impiegare sofisticate tecniche di occultamento. Oltre alla sofisticata architettura del ransomware, il gruppo è attivo sul darkweb, promuovendo la sua piattaforma e ricevendo il supporto di noti criminali informatici. Data la sua portata e velocità di sviluppo, Kraken potrebbe diventare una delle principali minacce per le infrastrutture aziendali nel prossimo futuro.

L'articolo Arriva Kraken: il nuovo ransomware che valuta l’ambiente per infliggere il massimo danno proviene da Red Hot Cyber.