Redazione RHC : 15 Novembre 2025 13:03
I ricercatori di Cisco Talos hanno rilevato un’ondata attiva di attacchi che utilizzano un nuovo ransomware chiamato Kraken. Il gruppo ha iniziato a operare nel febbraio 2025 e utilizza metodi di doppia estorsione , senza prendere di mira settori specifici. Tra le vittime figurano aziende di Stati Uniti, Regno Unito, Canada, Danimarca, Panama e Kuwait.
Kraken infetta i sistemi Windows, Linux e VMware ESXi , distribuendo versioni separate del ransomware per ciascun sistema. Il programma utilizza l’estensione .zpsc e lascia una nota, “readme_you_ws_hacked.txt“, minacciando di pubblicare i dati sul suo sito di fuga di notizie. In un caso, gli aggressori hanno chiesto un riscatto di circa 1 milione di dollari in Bitcoin.
In un attacco, gli aggressori hanno sfruttato una vulnerabilità SMB per ottenere l’accesso iniziale, quindi hanno preso piede nel sistema utilizzando lo strumento di tunneling di Cloudflare e hanno utilizzato l’utility SSHFS per rubare dati. Dopo aver ottenuto i privilegi, si sono spostati sulla rete tramite RDP e hanno distribuito ransomware su altre macchine.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Kraken funziona con una varietà di parametri, tra cui crittografia completa o parziale, selezione della dimensione dei blocchi, ritardo di esecuzione e test delle prestazioni. Prima della crittografia, il programma valuta la potenza del sistema e seleziona la modalità più efficiente, aiutando a infliggere il massimo danno senza causare sovraccarico o sospetti.
Su Windows, Kraken è implementato come un’applicazione C++ a 32 bit, possibilmente impacchettata in Go. Disattiva i reindirizzamenti del file system di WoW64, ottiene privilegi di debug, interrompe i servizi di backup, elimina i punti di ripristino e svuota il Cestino. Rimangono accessibili solo le directory che consentono alla vittima di contattare l’operatore.
Il ransomware attacca simultaneamente database SQL, unità locali, condivisioni di rete e macchine virtuali Hyper-V, utilizzando comandi PowerShell per arrestare le VM e ottenere i percorsi al loro storage. Evita le cartelle di sistema e i file eseguibili per preservare la funzionalità del sistema operativo.
La versione Linux/ESXi è scritta in C++ e utilizza crosstool-NG. Il programma rileva innanzitutto il tipo di sistema, adattando il suo comportamento a ESXi, Nutanix, Ubuntu o Synology. Negli ambienti ESXi, arresta le macchine virtuali prima della crittografia. Utilizza inoltre meccanismi di analisi di bypass: modalità demone, ignorando i segnali SIGCHLD e SIGHUP e, al termine della crittografia, esegue uno script di pulizia che elimina i log, la cronologia della shell e il binario stesso.
Kraken è attivo sul darkweb. Sul suo sito web, il gruppo ha annunciato la creazione di un forum underground, “The Last Haven Board“, che si propone come piattaforma anonima per la comunità dei criminali informatici. Secondo i moderatori, ex membri di HelloKitty e il gruppo WeaCorp, specializzato nell’acquisto di exploit, hanno aderito al progetto. Secondo Talos, HelloKitty è stata fonte di ispirazione per Kraken: entrambi i gruppi utilizzano nomi identici per le richieste di riscatto e immagini del blog.
Kraken è uno dei programmi ransomware tecnologicamente più avanzati oggi disponibili, in grado di valutare le prestazioni del sistema prima di attaccare, di adattarsi a diverse piattaforme e di impiegare sofisticate tecniche di occultamento. Oltre alla sofisticata architettura del ransomware, il gruppo è attivo sul darkweb, promuovendo la sua piattaforma e ricevendo il supporto di noti criminali informatici. Data la sua portata e velocità di sviluppo, Kraken potrebbe diventare una delle principali minacce per le infrastrutture aziendali nel prossimo futuro.
RedazioneI XV Giochi Nazionali della Cina si sono aperti con uno spettacolo che ha unito sport e tecnologia. Tra i protagonisti, robot capaci di suonare antichi strumenti di bronzo, sistemi di intelligenza art...
Un worm auto-propagante, denominato IndonesianFoods, è stato scoperto in npm. Genera nuovi pacchetti ogni sette secondi. Secondo Sonatype, il malware ha già creato oltre 100.000 pacchetti e questo n...
Molti di noi sono cresciuti con Hiroshi Shiba, di Jeeg robot d’acciaio che parlava con il defunto padre, il Professor Senjiro Shiba, scienziato e archeologo all’interno di un grande elaboratore. I...
Il traffico globale, come sanno i lettori di RHC, viaggia per la maggior parte sotto il mare. Secondo TeleGeography, istituto specializzato nelle telecomunicazioni, nel mondo sono attivi più di 530 s...
Un’analisi condotta negli ultimi mesi aveva evidenziato come l’evoluzione dei sistemi di intelligenza artificiale stesse raggiungendo un punto critico per la sicurezza informatica, con capacità r...
