Redazione RHC : 15 noviembre 2025 13:06
Investigadores de Cisco Talos han detectado una oleada activa de ataques mediante un nuevo ransomware llamado Kraken. El grupo comenzó a operar en febrero de 2025 y utiliza métodos de doble extorsión, sin dirigirse a sectores específicos. Entre las víctimas se encuentran empresas de Estados Unidos, Reino Unido, Canadá, Dinamarca, Panamá y Kuwait.
Kraken infecta sistemas Windows, Linux y VMware ESXi, distribuyendo versiones distintas del ransomware para cada sistema. El programa utiliza la extensión .zpsc y deja una nota, « readme_you_ws_hacked.txt », amenazando con publicar los datos en su sitio web de filtraciones. En un caso, los atacantes exigieron un rescate de aproximadamente un millón de dólares en Bitcoin.
En uno de los ataques, los atacantes explotaron una vulnerabilidad de SMB para obtener acceso inicial, luego se infiltraron en el sistema mediante la herramienta de tunelización de Cloudflare y utilizaron SSHFS para robar datos. Tras obtener privilegios, se desplazaron por la red a través de RDP e implementaron ransomware en otras máquinas.
Kraken opera con diversos parámetros, como cifrado total o parcial , selección del tamaño de bloque, retardo de ejecución y pruebas de rendimiento . Antes del cifrado, el programa evalúa el rendimiento del sistema y selecciona el modo más eficiente , lo que permite infligir el máximo daño sin sobrecargar el sistema ni levantar sospechas.
En Windows, Kraken se implementa como una aplicación C++ de 32 bits, posiblemente empaquetada en Go . Deshabilita las redirecciones del sistema de archivos WoW64 , obtiene privilegios de depuración, detiene los servicios de copia de seguridad, elimina los puntos de restauración y vacía la Papelera de reciclaje. Solo permanecen accesibles los directorios que permiten a la víctima contactar con el operador.
El ransomware ataca simultáneamente bases de datos SQL, unidades locales, recursos compartidos de red y máquinas virtuales Hyper-V, utilizando comandos de PowerShell para apagar las máquinas virtuales y obtener las rutas de acceso a su almacenamiento . Evita las carpetas del sistema y los archivos ejecutables para preservar la funcionalidad del sistema operativo.
La versión para Linux/ESXi está escrita en C++ y utiliza crosstool-NG . El programa primero detecta el tipo de sistema, adaptando su comportamiento a ESXi, Nutanix, Ubuntu o Synology . En entornos ESXi, apaga las máquinas virtuales antes del cifrado. También utiliza mecanismos de análisis de omisión: modo demonio, ignorando las señales SIGCHLD y SIGHUP, y, tras el cifrado, ejecuta un script de limpieza que elimina los registros, el historial de la shell y el propio binario.
Kraken opera en la dark web. En su sitio web, el grupo anunció la creación de un foro clandestino , » The Last Haven Board «, cuyo objetivo es proporcionar una plataforma anónima para la comunidad de ciberdelincuentes. Según los moderadores, antiguos miembros de HelloKitty y del grupo WeaCorp, dedicado a la compra de exploits, se han unido al proyecto. Según Talos, HelloKitty sirvió de inspiración para Kraken: ambos grupos utilizan nombres idénticos en las notas de rescate y las imágenes de sus blogs.
Kraken es uno de los programas de ransomware más avanzados tecnológicamente disponibles en la actualidad, capaz de evaluar el rendimiento del sistema antes de atacar, adaptarse a diferentes plataformas y emplear sofisticadas técnicas de ofuscación. Además de su sofisticada arquitectura de ransomware, el grupo opera en la dark web, promocionando su plataforma y recibiendo apoyo de ciberdelincuentes de renombre. Dada su magnitud y velocidad de desarrollo, Kraken podría convertirse en una grave amenaza para la infraestructura corporativa en un futuro próximo .
RedazioneEl quishing es una forma emergente de ciberataque que combina el phishing tradicional con el uso de códigos QR , herramientas ya conocidas por muchos. El término « quishing » es una combinación d...
Las operaciones psicológicas, comúnmente conocidas como PsyOps, constituyen un elemento significativo y a menudo poco comprendido de la estrategia militar y de seguridad . Estas operaciones implican...
En el mundo de la ciberseguridad, los cortafuegos constituyen la primera línea de defensa contra las ciberamenazas y los ciberataques. Diariamente, empresas y usuarios domésticos se exponen a riesgo...
Fortinet ha confirmado el descubrimiento de una vulnerabilidad crítica de ruta relativa (CWE-23) en dispositivos FortiWeb, identificada como CVE-2025-64446 y registrada como número IR FG-IR-25-910 ....
Los XV Juegos Nacionales de China se inauguraron con un espectáculo que combinó deporte y tecnología. Entre los aspectos más destacados se encontraban robots capaces de tocar antiguos instrumentos...
