Selon le blog Talos Intelligence (Cisco Talos), des intrusions observées en août 2025 attribuées au groupe ransomware Kraken montrent des campagnes de big‑game hunting avec double extorsion, une filiation probable avec HelloKitty et des outils et TTPs avancés visant Windows, Linux et VMware ESXi.

– Qui est Kraken ? Ce groupe, apparu en février 2025, exploite la double extorsion et se montre opportuniste, sans verticales dédiées. Son site de fuite recense des victimes aux États‑Unis, Royaume‑Uni, Canada, Danemark, Panama et Koweït. Les fichiers chiffrés portent l’extension .zpsc et une note de rançon readme_you_ws_hacked.txt redirige les victimes vers une URL onion. Dans un cas, une demande d’environ 1 M$ en Bitcoin a été observée. Le groupe a annoncé un forum souterrain, The Last Haven Board, prétendant offrir un canal anonyme et sécurisé, avec un message de soutien de l’équipe HelloKitty et de WeaCorp, renforçant les liens supposés avec HelloKitty.

– Chaîne d’infection observée (août 2025) : accès initial par exploitation de vulnérabilités SMB sur des serveurs exposés, extraction d’identifiants privilégiés, ré‑entrée via RDP avec ces comptes, puis persistance par Cloudflared (reverse tunnel). L’acteur installe SSHFS pour explorer l’environnement et exfiltrer des données avant déploiement du binaire Kraken et mouvements latéraux via RDP, exécutant le ransomware à grande échelle.

– Capacités et techniques du chiffreur Windows : Kraken est multiplateforme (Windows, Linux, ESXi) avec de nombreuses options CLI (chiffrement total/partiel, ciblage de bases SQL, partages réseau, etc.). Il combine RSA‑4096 et ChaCha20 et intègre un benchmark de performance pour optimiser l’empreinte et la vitesse d’exécution. La version Windows (binaire 32‑bit C++ possiblement obfusqué via un packer Golang) inclut des mécanismes d’anti‑réinfection, d’anti‑analyse et d’anti‑recovery : désactivation de la redirection WoW64, élévation de privilèges de débogage, chiffrement des lecteurs locaux/partages SQL, désactivation des sauvegardes, obfuscation du flot de contrôle, SetErrorMode avec 0x8003, délais d’exécution, suppression des Shadow Copies (vssadmin delete shadows /all /quite), vidage de la corbeille. Des modules parallèles visent spécifiquement les bases Microsoft SQL Server (via clés de registre), les partages réseau (en ignorant ADMIN$ et IPC$), les lecteurs locaux et Hyper‑V (PowerShell: Set-ExecutionPolicy bypass, get-vm, Get-VMHardDiskDrive, stop-vm -force -turnoff). Les .exe/.dll et certains dossiers système sont exclus pour conserver l’accès au système.

– Chiffreur Linux/ESXi : binaire 64‑bit C++ (crosstool‑NG 1.26.0), détection de plateforme (ESXi via esxcli system version get; Nutanix/Ubuntu via uname -a; Synology via cat /etc.defaults/VERSION). Sur ESXi, liste et arrêt forcé des VMs (esxcli vm process list puis esxcli vm process kill --type=force --world-id=). Chiffrement multi‑thread en mode « solid » (total) ou « step » (partiel) avec benchmark. Fonctionnement en daemon (fork_as_daemon), ignore SIGCHLD/SIGHUP. Nettoyage en plusieurs étapes via un script _bye_bye_.sh supprimant logs, historique et binaire, exécuté avec popen pour s’auto‑effacer.

– Détections et artefacts: Cisco mentionne des règles Snort et signatures ClamAV, et indique que les IOCs complets sont publiés sur leur dépôt GitHub. L’article fournit une vue détaillée des TTPs, des options de ligne de commande (Windows/Linux/ESXi) et des modules ciblant SQL, partages réseau, Hyper‑V et VMs ESXi.

TTPs clés observés

  • Accès initial: exploitation de vulnérabilités SMB sur serveurs exposés 🌐
  • Mouvement/persistance: ré‑entrée RDP avec identifiants volés; tunnel inverse via Cloudflared; latéralisation RDP
  • Exfiltration: SSHFS pour parcourir et exfiltrer les données avant chiffrement
  • Chiffrement: RSA‑4096 + ChaCha20; modes total/partiel; ciblage SQL, partages réseau, Hyper‑V, ESXi; extension .zpsc; note readme_you_ws_hacked.txt
  • Anti‑analyse/recovery: obfuscation du flux, SetErrorMode 0x8003, délais, suppression des Shadow Copies, vidage corbeille, exclusions de fichiers/dossiers
  • Effacement de traces: script _bye_bye_.sh supprimant logs/historiques/binaire

IOCs et règles de détection mentionnés

  • Snort SIDs: 65480, 65479
  • ClamAV: Win.Ransomware.Kraken-10056931-0, Unix.Ransomware.Kraken-10057031-0
  • IOCs supplémentaires: disponibles dans le dépôt GitHub de Talos

Conclusion: il s’agit d’une analyse de menace détaillant les tactiques, techniques et capacités de Kraken, ses liens possibles avec HelloKitty et les couvertures de détection associées.

🧠 TTPs et IOCs détectés

TTP

[“Exploitation de vulnérabilités SMB sur serveurs exposés pour l’accès initial”, ‘Ré-entrée via RDP avec identifiants volés’, ‘Persistance par tunnel inverse via Cloudflared’, ‘Exfiltration de données via SSHFS’, ‘Chiffrement avec RSA-4096 et ChaCha20’, ‘Ciblage des bases SQL, partages réseau, Hyper-V, ESXi’, ‘Obfuscation du flux de contrôle’, ‘Suppression des Shadow Copies’, ‘Vidage de la corbeille’, “Exclusions de certains fichiers et dossiers pour maintenir l’accès au système”, ‘Effacement de traces avec le script _bye_bye_.sh’]

IOC

[‘Snort SIDs: 65480, 65479’, ‘ClamAV signatures: Win.Ransomware.Kraken-10056931-0, Unix.Ransomware.Kraken-10057031-0’, ‘Extension de fichier chiffré: .zpsc’, ‘Note de rançon: readme_you_ws_hacked.txt’, ‘IOCs supplémentaires: disponibles dans le dépôt GitHub de Talos’]

🔗 Source originale : https://blog.talosintelligence.com/kraken-ransomware-group/