Kraken勒索軟件攻擊細節曝光 可根據設備性能動態調整加密模式

Kraken勒索軟件主要針對Windows、Linux/VMware ESXi系統發起攻擊，其獨特行為是會先對目標設備進行測試，以此確定在不造成系統過載的前提下，數據加密的最快速度。

據思科Talos團隊的研究人員介紹，Kraken的核心特征是通過創建臨時文件，在全量數據加密和部分數據加密兩種模式間自主選擇。

該勒索軟件于2025年初出現，是HelloKitty勒索軟件運營活動的延續，主要以大型企業為攻擊目標，通過數據竊取實施“雙重勒索”。

在該團伙的泄密網站上，已列出來自美國、英國、加拿大、巴拿馬、科威特和丹麥等國家的受害者信息。

Kraken網站上的多處表述，以及贖金通知中的相似內容，均表明其與已停運的HelloKitty勒索軟件存在關聯。HelloKitty曾在2021年聲名鵲起，后因源代碼泄露嘗試品牌重塑。

除勒索軟件運營外，Kraken團伙還推出了一個名為“The Last Haven Board”的新型網絡犯罪論壇，號稱可提供安全的通信與信息交換服務。

Kraken在暗網上的敲詐門戶網站

Kraken攻擊鏈條

根據思科的觀測，Kraken勒索軟件的攻擊流程通常如下：

1. 初始滲透：攻擊者首先利用暴露在公網的資產中的SMB漏洞發起攻擊，獲取初始立足點。

2. 權限獲取與工具部署：入侵者提取管理員賬號憑證，通過遠程桌面協議（RDP）重新接入目標環境，并部署Cloudflared和SSHFS工具。

3. 隧道搭建與數據竊取：Cloudflared用于在受害者主機與攻擊者基礎設施間建立反向隧道，SSHFS則通過掛載遠程文件系統實現數據竊取。

4. 橫向移動與攻擊鋪墊：攻擊者借助持續存在的Cloudflared隧道和RDP權限，在已入侵網絡中橫向移動至所有可訪問的設備，竊取有價值數據，為部署勒索軟件二進制文件做準備。

Kraken感染鏈

加密模式動態設定

研究人員表示，當加密指令發出后，Kraken會對每臺目標設備進行性能基準測試：

1. 測試流程：創建含隨機數據的臨時文件，在計時狀態下對其進行加密運算，計算加密效率后刪除該臨時文件。

2. 模式選擇：根據測試結果，勒索軟件自動決定對設備數據執行全量加密或部分加密。

Kraken感染鏈

3. 設計目的：思科Talos指出，這種設備性能評估機制通常與攻擊最后階段同步快速推進，既能造成最大破壞，又能避免因資源占用過高觸發安全警報。

在啟動實際加密前，Kraken會刪除系統的卷影副本和回收站文件，并停止運行中的備份服務。

多平臺加密模塊解析

·Windows版本

思科解釋，Windows版Kraken包含四個加密模塊：

-SQL數據庫模塊：通過注冊表項識別Microsoft SQL Server實例，定位數據庫文件目錄并驗證路徑后，加密SQL數據文件。

-網絡共享模塊：通過WNet API枚舉可訪問的網絡共享資源，忽略ADMIN$和IPC$共享，加密其他所有可訪問共享中的文件。

-本地驅動器模塊：掃描可用驅動器盤符，針對可移動磁盤、本地固定磁盤和遠程驅動器，通過獨立工作線程加密其內容。

-Hyper-V模塊：通過內置PowerShell命令列出虛擬機，獲取虛擬磁盤路徑，強制停止運行中的虛擬機，再加密相關虛擬磁盤文件。

·Linux/ESXi版本

該版本會先枚舉并強制終止運行中的虛擬機以解鎖磁盤文件，隨后采用與Windows版相同的基準測試邏輯，執行多線程全量或部分加密。

攻擊善后與贖金要求

加密完成后，系統會自動執行生成的“bye_bye.sh”腳本，清除所有日志、Shell歷史記錄、Kraken勒索軟件二進制文件，最終刪除腳本本身。

被加密文件會被添加“.zpsc”擴展名，受影響目錄中會生成贖金通知文件（文件名“readme_you_ws_hacked.txt”）。

Kraken 索賠信

思科透露，在已觀測到的案例中，該團伙曾索要100萬美元比特幣作為贖金。與Kraken勒索軟件攻擊相關的完整入侵指標（IoCs）可在該GitHub代碼庫中查詢。

參考及來源：https://www.bleepingcomputer.com/news/security/kraken-ransomware-benchmarks-systems-for-optimal-encryption-choice/