Главная страница » Индикаторы компрометации
0
13 часов
Индикаторы компрометации

Технологичный наследник: операция Kraken продолжила традиции группировки HelloKitty

ransomware

В феврале 2025 года на киберпреступной сцене появилась новая операция вымогателей Kraken, демонстрирующая техническую зрелость и преемственность с прекратившей существование группировкой HelloKitty. Согласно исследованию Cisco Talos, угроза представляет собой оппортунистически-атаки двойного шантажа с использованием кроссплатформенных шифровальщиков и сложных инструментов пост-эксплуатации.

Описание

Исследователи отмечают, что в составе Kraken предположительно действуют бывшие участники HelloKitty, создавшие гибкий ransomware-полезную нагрузку, надежно работающую в средах Windows, Linux и VMware ESXi. Эта кроссплатформенность становится стандартным требованием для современных охотников за крупной добычей. Наблюдаемые случаи начального доступа использовали уязвимости неисправленных служб SMB, открытых для публичного интернета.

После проникновения злоумышленники похищали привилегированные учетные данные, возвращались через RDP и устанавливали устойчивый удаленный доступ через развертывание Cloudflared для создания обратных туннелей. Экспфильтрация данных осуществлялась через подключенные файловые системы SSHFS, позволяя тихо подготавливать данные перед началом шифрования.

Шифровальщики Kraken отличаются богатым интерфейсом командной строки и производительным дизайном. Перед блокировкой файлов вредоносное ПО выполняет бенчмаркинг, который записывает и шифрует временный многомегабайтный файл, измеряет пропускную способность и автоматически корректирует параметры шифрования. Это адаптивное поведение необычно для семейств ransomware-программ товарного уровня.

Kraken поддерживает отдельные 32/64-битные шифровальщики для Windows, Linux и VMware ESXi, написанные на C++ с расширенной конфигурируемостью через командную строку. Шифрование использует RSA-4096 с потоковым шифром ChaCha20, а зашифрованные файлы получают расширение .zpsc.

Windows-вариант представляет собой 32-битный бинарник C++, часто защищенный упаковщиком на Golang. Он отключает WoW64 filesystem redirection для доступа к 64-битным системным директориям, повышает привилегии токена процесса для SeDebugPrivilege и выполняет анти-аналитические приемы. Отдельные рабочие потоки обрабатывают локальные диски, доступные сетевые ресурсы, базы данных Microsoft SQL и виртуальные машины Hyper-V.

Сборка для Linux/ESXi представляет собой 64-битный ELF, скомпилированный с помощью crosstool-NG. Она определяет базовую платформу и на хостах ESXi завершает работающие виртуальные машины перед шифрованием. Многопоточное шифрование ChaCha20 поддерживает как полное файловое, так и блочное частичное шифрование. После шифрования скрипт самоуничтожения очищает логи, историю и сам бинарник.

Kraken продолжает модель двойного шантажа, требуя выкуп за разблокировку файлов и за отсутствие утечки похищенной информации. В сентябре 2025 года группа запустила "The Last Haven Board" - подпольный форум, открыто поддерживаемый оставшимися членами HelloKitty и брокером эксплойтов WeaCorp.

Операция демонстрирует эволюцию киберпреступных групп, где технические наработки и инфраструктура переходят к новым образованиям. Сохранение инструментов и методик предыдущей группировки позволяет новым участникам быстро достигать операционной эффективности. Адаптивные возможности шифрования указывают на рост технической сложности ransomware-атак, что требует от защитников совершенствования систем обнаружения и предотвращения.

Эксперты отмечают важность своевременного обновления систем, особенно интернет-ориентированных служб. Многоэтапность атаки подчеркивает необходимость комплексного мониторинга, поскольку злоумышленники используют разнообразные техники для persistence-устойчивости и перемещения. Организациям рекомендуется применять модель нулевого доверия и сегментацию сетей для ограничения потенциального ущерба.

Индикаторы компрометации

MD5

  • 04966960f3f5ed32ae479079a1bcf6e9
  • 1d8b94c36ada551bfdfe8391517bbaa6
  • 480703a09399fb1d118b6df620e8ec92
  • 64942670b70b320f5c4dafe9e7db734a
  • cde78869e43f82cc0b2b9c0561aa9ac7

SHA1

  • 011d7a00a643636ff54a9d5b5354e296016a83c0
  • 85caef02905ba7e37bb784d23d0af01344c49afb
  • 9d25144509a88cef2bc28b8df73048f611c5bc87
  • cbe4c87b7678d43a230160876d2682f26891c21c
  • fbc1a8d3746daf96ff5422f1ba0470b6379e54bf

SHA256

  • 32ead9cd1f4925c8f10b9c04d0aa8b874277495104d9b8adfe7bb42583e51218
  • 7b512cb2fcd112510f3670005fefbf3d8bc189256af09cbf1518d1d09870c784
  • 97ddedfd7e8f7c19de5327770722a81b5c6be00d2a831c508cc817c93ff466db
  • abba10d2808639724e8c6b3c22d565cb338dc17d680a4f1591d0408b9edf78d8
  • e83bc2ec7975885424668171c2e106f7982bd409e01ce6281fb0e6e722e98810
Комментарии: 0
Похожие записи
0
06.06.2025
Индикаторы компрометации

Хакеры атакуют критическую инфраструктуру Украины с помощью нового вируса-уничтожителя PathWiper

security
Эксперты Cisco Talos обнаружили новую кибератаку на объекты критической инфраструктуры Украины с использованием ранее неизвестного вредоносного ПО типа wiper, получившего название PathWiper.
0
04.08.2025
Индикаторы компрометации

Иранская группировка Static Kitten атакует пользователей Android шпионским ПО через фальшивые VPN и Starlink-приложения

APT
Группа киберразведки Lookout обнаружила новую кампанию иранской хакерской группировки Static Kitten, распространяющую шпионское ПО DCHSpy под видом VPN-сервисов и приложений Starlink.