СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Артем
18.11.2025
#ИБ#Облака

Cisco Talos: группировка Kraken применяет бенчмаркинг для повышения эффективности программ-вымогателей

Cisco Talos: группировка Kraken применяет бенчмаркинг для повышения эффективности программ-вымогателей

Изображение: recraft

Компания Cisco Talos представила отчёт о деятельности русскоязычной группировки Kraken, зафиксировавшей серию атак в августе 2025 года. Авторы документа обращают внимание на то, что Kraken, возникшая на фоне распада картеля HelloKitty, активно применяет двойное вымогательство и внедряет новые технические приёмы для повышения результативности атак.

Особенность инструментов Kraken — их мультиплатформенность. Злоумышленники используют версии вредоносного ПО для Windows, Linux и VMware ESXi, что позволяет им действовать в различных корпоративных средах. Основной вектор проникновения — уязвимости протокола SMB. После получения доступа группа использует SSHFS для незаметной кражи данных, которые впоследствии шифруются. В качестве дополнительной меры применяется Cloudflare, через который осуществляется пересылка и хранение похищенных файлов.

Новшеством в тактике Kraken стал этап предварительного анализа — бенчмаркинга заражённой системы. До начала шифрования вредонос оценивает производительность устройства, определяя, насколько быстро оно способно обработать процедуру блокировки файлов. Это позволяет подобрать параметры атаки с учётом мощности конкретного хоста, снизив риски аварий и повысив вероятность успешного завершения шифрования до вмешательства систем обнаружения.

Группировка также запустила новый даркнет-портал под названием The Last Haven Board. На нём предлагается организовать закрытую площадку для обмена инструментами, опытом и координации действий внутри теневого сообщества. Запуск сопровождался заявлениями о поддержке со стороны HelloKitty и WeaCorp — структуры, известной приобретением эксплойтов. Поддержка этих организаций усиливает предположения о преемственности между Kraken и HelloKitty.

Kraken действует с февраля 2025 года и не ограничивается каким-либо определённым сектором. Список жертв на onion-сайте группировки охватывает компании из США, Великобритании, Канады, Дании, Панамы и Кувейта. В рамках каждой атаки злоумышленники используют расширение .zpsc, оставляют файл с инструкциями под названием readme_you_ws_hacked.txt и угрожают публикацией похищенных данных, если с ними не выйти на связь.

По данным Cisco Talos, Kraken не только заимствует элементы у HelloKitty, но и прямо ссылается на неё в публикациях. Совпадение имён файлов с требованиями выкупа, структура порталов и технические приёмы свидетельствуют о возможном расслоении бывшей группы и создании нового ядра под другим именем.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: