Arriva Kraken: il nuovo ransomware che valuta l’ambiente per infliggere il massimo danno

I ricercatori di Cisco Talos hanno rilevato un’ondata attiva di attacchi che utilizzano un nuovo ransomware chiamato Kraken. Il gruppo ha iniziato a operare nel febbraio 2025 e utilizza metodi di doppia estorsione , senza prendere di mira settori specifici. Tra le vittime figurano aziende di Stati Uniti, Regno Unito, Canada, Danimarca, Panama e Kuwait.

Kraken infetta i sistemi Windows, Linux e VMware ESXi , distribuendo versioni separate del ransomware per ciascun sistema. Il programma utilizza l’estensione .zpsc e lascia una nota, “readme_you_ws_hacked.txt“, minacciando di pubblicare i dati sul suo sito di fuga di notizie. In un caso, gli aggressori hanno chiesto un riscatto di circa 1 milione di dollari in Bitcoin.

In un attacco, gli aggressori hanno sfruttato una vulnerabilità SMB per ottenere l’accesso iniziale, quindi hanno preso piede nel sistema utilizzando lo strumento di tunneling di Cloudflare e hanno utilizzato l’utility SSHFS per rubare dati. Dopo aver ottenuto i privilegi, si sono spostati sulla rete tramite RDP e hanno distribuito ransomware su altre macchine.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Kraken funziona con una varietà di parametri, tra cui crittografia completa o parziale, selezione della dimensione dei blocchi, ritardo di esecuzione e test delle prestazioni. Prima della crittografia, il programma valuta la potenza del sistema e seleziona la modalità più efficiente, aiutando a infliggere il massimo danno senza causare sovraccarico o sospetti.

Su Windows, Kraken è implementato come un’applicazione C++ a 32 bit, possibilmente impacchettata in Go. Disattiva i reindirizzamenti del file system di WoW64, ottiene privilegi di debug, interrompe i servizi di backup, elimina i punti di ripristino e svuota il Cestino. Rimangono accessibili solo le directory che consentono alla vittima di contattare l’operatore.

Il ransomware attacca simultaneamente database SQL, unità locali, condivisioni di rete e macchine virtuali Hyper-V, utilizzando comandi PowerShell per arrestare le VM e ottenere i percorsi al loro storage. Evita le cartelle di sistema e i file eseguibili per preservare la funzionalità del sistema operativo.

La versione Linux/ESXi è scritta in C++ e utilizza crosstool-NG. Il programma rileva innanzitutto il tipo di sistema, adattando il suo comportamento a ESXi, Nutanix, Ubuntu o Synology. Negli ambienti ESXi, arresta le macchine virtuali prima della crittografia. Utilizza inoltre meccanismi di analisi di bypass: modalità demone, ignorando i segnali SIGCHLD e SIGHUP e, al termine della crittografia, esegue uno script di pulizia che elimina i log, la cronologia della shell e il binario stesso.

Kraken è attivo sul darkweb. Sul suo sito web, il gruppo ha annunciato la creazione di un forum underground, “The Last Haven Board“, che si propone come piattaforma anonima per la comunità dei criminali informatici. Secondo i moderatori, ex membri di HelloKitty e il gruppo WeaCorp, specializzato nell’acquisto di exploit, hanno aderito al progetto. Secondo Talos, HelloKitty è stata fonte di ispirazione per Kraken: entrambi i gruppi utilizzano nomi identici per le richieste di riscatto e immagini del blog.

Kraken è uno dei programmi ransomware tecnologicamente più avanzati oggi disponibili, in grado di valutare le prestazioni del sistema prima di attaccare, di adattarsi a diverse piattaforme e di impiegare sofisticate tecniche di occultamento. Oltre alla sofisticata architettura del ransomware, il gruppo è attivo sul darkweb, promuovendo la sua piattaforma e ricevendo il supporto di noti criminali informatici. Data la sua portata e velocità di sviluppo, Kraken potrebbe diventare una delle principali minacce per le infrastrutture aziendali nel prossimo futuro.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.