Группа кибермошенников Kraken: новая угроза вымогательства
Источник: www.cyjax.com
В феврале 2025 года на киберпространстве появилась новая группа кибермошенников под названием Kraken. Эта группа использует сайт утечки данных (Data Leak Site, DLS), размещенный в сети Tor, для угроз и вымогательства у своих жертв. На данный момент известно о пяти атаках, из которых четыре были нацелены на организации в Соединенных Штатах и одна в Польше.
Заявленные атаки и жертвы
К середине февраля Kraken заявила о нападении на пять компаний. Однако подробности нарушений остаются неясными, так как ни одна из предполагаемых жертв не подтвердила инциденты. Одна из организаций, Cisco, обозначена Kraken как подвергшаяся атакам, связанным с переименованной программой-вымогателем HelloGookie.
Линейка происхождения и связь с другими группами
Обсуждаемые аспекты идентификации и происхождения Kraken довольно запутаны. В первую очередь, в DLS группы указано название ранее неактивной группы программ-вымогателей HelloKitty. Наблюдатели предполагают, что Kraken может быть ответвлением или фракцией HelloGookie, подвергшейся ребрендингу в апреле 2024 года. Также существует возможность связи Kraken с несуществующей группой вымогателей Yanluowang.
Тактика и методы работы
Оперативная тактика группы Kraken схожа с подходами, которые практикуют другие группы вымогателей. Они применяют многоэтапные угрозы для принуждения жертв к оплате:
- Объявление имени цели и сообщение об успешной атаке на её сайт.
- В случае отказа от уплаты, публикация доказательств кражи данных (скриншоты конфиденциальных документов и PII).
- Сопровождение угроз обратным отсчетом времени, чтобы усилить срочность требований.
Стратегия публикаций и структурированность DLS
На 11 февраля 2025 года DLS от Kraken имеет минимально структурированную целевую страницу с перечислением заявленных целей. При этом нет подробной информации о взаимодействии с жертвами или процессах оплаты.
Публикации на сайте направлены на привлечение потенциальных покупателей и предоставление прямых контактов для переговоров. Указаны такие организации, как технологическая компания CD Projekt и телекоммуникационная Converged Telephony Networks, однако точный характер украденных данных остаётся неопределённым.
Контекст и динамика распространения угроз
Примечательно, что в DLS имеется ссылка на предыдущий пост, названный «Kitty Cookies», который, по предположениям, содержит секретные ключи для получения доступа к данным жертв. Точное использование этих ключей не уточняется.
Группа HelloGookie ведет активную деятельность в секторе программ-вымогателей с 2020 года и ориентируется на множество секторов по всему миру. Это вызывает обеспокоенность по поводу возможности продолжения работы под различными личинами. Теперь же становится всё более очевидным, что среда распространения программ-вымогателей усложняется, и группы, такие как Kraken, могут использовать репутацию несуществующих организаций для повышения своейCredibility.
Будущее угроз
По мере появления всё большего количества свидетельств об общих целях и тактике групп Kraken, HelloGookie и Yanluowang, остаётся неясным, представляют ли они собой отдельные операции или являются аспектами единой эволюции в области угроз вымогательства. Общее отсутствие подтверждений от жертв в отношении сообщений о взломах указывает на трудности в проверке заявлений в этой постоянно изменяющейся хакерской среде.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
