05.11.2025
4 хв
500
У цій статті ви дізнаєтеся, хто стоїть за зростанням активності Kraken, які сучасні прийоми використовує ця група та чому її атаки стали одними з найпомітніших у 2025 році. Матеріал допоможе зрозуміти ключові ризики, на що звертати увагу організаціям і чому Kraken став новим серйозним викликом у сфері кіберзахисту.
Група вимагачів Kraken, яка з’явилася в лютому 2025 року, використовує техніку подвійного вимагання та, схоже, діє опортуністично, оскільки не зосередилася на жодній конкретній бізнес-вертикалі. Згідно з сайтом витоку Kraken, жертви охоплюють різні географічні регіони, включаючи Сполучені Штати, Велику Британію, Канаду, Данію, Панаму та Кувейт.
Як і інші оператори у сфері подвійного вимагання, Kraken також керує сайтом витоку даних, щоб розкривати викрадені дані жертв, які не виконують своїх вимог щодо викупу.
Kraken шифрує середовище жертви, використовуючи розширення файлу .zpsc для зашифрованих файлів та надсилаючи повідомлення з вимогою викупу під назвою «readme_you_ws_hacked.txt». У повідомленні зловмисник погрожує жертвам, стверджуючи, що вкрав та зашифрував їхні конфіденційні дані. Він доручає жертві зв’язатися з ними за допомогою цибулинної URL-адреси, щоб запобігти публікації на їхньому сайті витоку інформації.
В одному з випадків актор вимагав близько 1 мільйона доларів США, які мали бути сплачені у біткоїнах на зазначену адресу гаманця. Група запевняє жертв, що після успішної оплати середовище буде розшифроване, а викрадені дані не будуть оприлюднені.
Згідно зі зовнішніми повідомленнями, російськомовне угруповання Kraken, яке, як підозрюють, виникло з попелу картелю програм-вимагачів HelloKitty або було створене деякими з його колишніх членів. У назві сайту витоку даних Kraken прямо згадується назва групи програм-вимагачів HelloKitty. Також було зафіксовано, що Kraken та HelloKitty використовують однакову назву файлу з вимогою викупу, що може вказувати на ймовірний зв’язок між цими двома группами.
У вересні 2025 року група Kraken оголосила про новий підпільний форум під назвою «The Last Haven Board» у своєму блозі про витік даних. Згідно з його описом, основною метою Last Haven є створення анонімного та безпечного середовища для спілкування всередині кіберзлочинного підпілля. Повідомлялося, що адміністратор форуму Last Haven оголосив про підтримку та співпрацю з боку команд HelloKitty та WeaCorp — організації, яка займається придбанням експлойтів. Це може натякати на можливу причетність операторів HelloKitty до групи Kraken.
У серпні 2025 року служба реагування зафіксувала один випадок, коли зловмисник Kraken отримав початковий доступ до машини жертви, використовуючи існуючу вразливість у службі SMB на серверах, підключених до Інтернету. Після того, як вони закріпилися на машині жертви, вони отримали дійсні облікові дані адміністраторів та інших привілейованих облікових записів. Згодом вони знову увійшли в середовище жертви через підключення до віддаленого робочого столу, використовуючи викрадені облікові дані привілейованого облікового запису.
Після повторного доступу до комп’ютера жертви зловмисник встановив постійне з’єднання, встановивши інструмент Cloudflared та налаштувавши зворотний тунель на комп’ютері жертви. Крім того, зловмисник встановив на комп’ютері жертви інструмент SSHFS, використовуючи його для навігації середовищем жертви та вилучення конфіденційних даних. Потім зловмисник розгорнув бінарний файл програми-вимагача Kraken та перемістився на інші машини, підключені до зараженої машини через з’єднання Remote Desktop Protocol (RDP), використовуючи викрадені облікові записи привілейованих користувачів для розгортання бінарних файлів програми-вимагача. Через це постійне віддалене з’єднання зловмисник виконував команди для запуску програми-вимагача на кількох системах у середовищі жертви.
Програма-вимагач Kraken — це складне сімейство програм-вимагачів з варіантами, що націлені на системи Windows, Linux та ESXi. Ця програма-вимагач пропонує розширені параметри командного рядка, що забезпечує операційну гнучкість для зловмисників, які використовують програму-вимагач Kraken у своїх атаках. Вона має можливість повного або часткового шифрування цільових файлів, а також функції, що дозволяють шифрувати певні файли, включаючи бази даних SQL та мережеві ресурси.
Для шифрування цільових файлів програма-вимагач Kraken використовує алгоритми шифрування RSA з довжиною ключа 4096 біт та симетричне шифрування ChaCha20. Крім того, програма-вимагач має можливості тестування шифрування, щоб оцінити, наскільки швидко вона може працювати на комп’ютері жертви, не перевантажуючи систему, забезпечуючи максимальну шкоду за мінімальний час, уникаючи виявлення через виснаження ресурсів.
Було зафіксовано, що зловмисник запускував команди у середовищах Windows та ESXi для виконання програми-шифрувальника. Шифрувальник Kraken має набір аргументів командного рядка, які можуть використовуватись залежно від середовища жертви.
Encryptor[.]exe –key <32-byte key> -path <\\targeted path for encryption> -timeout -d
Версія програми-вимагача Kraken для Windows — це 32-розрядний виконуваний файл, написаний на C++ та, можливо, обфускований за допомогою пакувальника на основі Golang. Програма-вимагач має такі функції, як перевірка на повторне зараження, антианаліз та антивідновлення, а також шифрує цільові файли, додаючи до них розширення .zpsc.
На початковому етапі виконання Kraken обробляє параметри командного рядка та виконує перевірки на комп’ютері жертви на наявність повторного зараження, щоб уникнути подвійного шифрування. Зловмисник застосував перевірки на наявність повторного зараження для ефективного керування ключами розшифрування.
Програма-вимагач Kraken вимикає перенаправлення файлової системи WoW64 на комп’ютері жертви, використовуючи функцію Wow64EnableWow64FsRedirectionз аргументом «\0 (False)», щоб дозволити 32-бітному бінарному файлу доступ до 64-бітних файлів на комп’ютері з Windows.
WoW64 — це рівень сумісності в 64-розрядній операційній системі Windows, який дозволяє 32-розрядним програмам безперебійно працювати. Ключовою особливістю WoW64 є перенаправлення файлової системи, яке гарантує, що коли 32-розрядна програма намагається отримати доступ до папки «C:\Windows\System32», WoW64 перенаправляє її до «C:\Windows\SysWoW64», дозволяючи 32-розрядній програмі завантажувати правильну 32-розрядну версію системних DLL-файлів.
Після вимкнення перенаправлення у WoW64 програма-вимагач Kraken змінює свої привілеї токена процесу, активуючи права налагодження. Ці привілеї необхідні програмі-вимагачу для доступу та шифрування файлів, що належать іншим процесам. Крім того, програма-вимагач шифрує локальні диски, мережеві ресурси та файли бази даних SQL, а також вимикає служби резервного копіювання у 64-розрядній операційній системі Windows. Усі ці операції 32-розрядного бінарного файлу програми-вимагача вимагатимуть доступу до папки «C:\Windows\System32». Вимкнення перенаправлення у Wow64 дозволить 32-розрядному бінарному файлу програми-вимагача отримати доступ до папки «C:\Windows\System32» у 64-розрядній операційній системі Windows.
Програма-вимагач Kraken використовує методи антианалізу, щоб уникнути виявлення, ускладнити аналіз та запобігти виконанню в ізольованих середовищах.
Програма-вимагач використовує значне обфускацію потоку керування з кількома умовними циклами по всьому коду, приховуючи фактичні шляхи потоку керування та збільшуючи складність статичного аналізу та зіставлення зі шаблонами для генерації сигнатур.
Він також маніпулює обробниками системних винятків, щоб запобігти появі діалогових вікон помилок Windows, виконуючи SetErrorModeфункцію зі значенням 0x8003, яке є побітовою комбінацією АБО трьох прапорців режиму помилки Windows:
SEM_FAILCRITICALERRORS (0x0001) – вікно повідомлення про відсутність обробника критичних помилок
SEM_NOGPFAULTERRORBOX (0x0002) – відсутність блоку помилки загального захисту
SEM_NOOPENFILEERRORBOX (0x8000) – помилка відкриття файлу
Він використовує затримку виконання на основі сну, щоб уникнути аналізу пісочниці, зупиняє служби резервного копіювання та виконує вбудовану команду для видалення всіх точок відновлення на машині жертви.
vssadmin delete shadows /all /quite
Він також видаляє кошик за допомогою функції Windows SHEmptyRecycleBinA.
Програма-вимагач Kraken має можливість проводити тестування продуктивності на комп’ютері жертви перед початком фактичного шифрування. Вимагач може використовувати цю функцію за допомогою параметрів командного рядка, таких як «-tests», «-tempfile» та «-tempsize», щоб оцінити продуктивність комп’ютера жертви та оптимізувати процес шифрування програми-вимагача.
Kraken робить це, спочатку створюючи тимчасовий тестовий файл, використовуючи шлях та ім’я файлу, вказані параметром “-tempfile”. Потім він заповнює цей файл випадковими даними, записуючи фрагменти по 1 МБ, доки не буде досягнуто загального розміру, визначеного параметром “-tempsize”. Для відліку часу основної операції модуль записує час початку за допомогою функції clock_gettime, виконує фактичне шифрування тестового файлу, а потім записує час завершення. Нарешті, він обчислює час, що минув, та швидкість шифрування для машини жертви, виражену в МБ/с, за формулою:
Швидкість = ((загальна кількість байтів / час, що минув) * 1000) / 1048576.
На основі результатів вимірювання пропускної здатності функція перевіряє, чи слід зловмиснику обрати режим повного чи часткового шифрування з максимальним розміром фрагментів файлу для шифрування. Після процесу тестування продуктивності вона видаляє тестовий файл за допомогою функції unlink().
Шифрувальник Kraken для Windows має чотири модулі шифрування, включаючи базу даних SQL, мережевий ресурс, локальний диск і шифрування Hyper-V. На основі прапорців командного рядка, наданих зловмисником, шифрувальник визначає, який модуль шифрування виконувати.
Модуль шифрування бази даних SQL шифрує бази даних Microsoft SQL Server. Щоб атакувати файли бази даних, модуль звертається до ключів реєстру Microsoft SQL Server на комп’ютері жертви, зокрема запитує «HKLM\SOFTWARE\Microsoft\Microsoft SQL Server» та його підрозділ «Instance Names\SQL» для пошуку екземплярів «MSSQLSERVER» та «SQLEXPRESS». Після знаходження екземпляра він отримує значення реєстру «SQLDataRoot», щоб визначити шлях до файлів бази даних. Потім модуль перевіряє існування цих шляхів за допомогою API PathFileExistsWWindows, перш ніж розпочати шифрування файлів бази даних.
Модуль шифрування мережевих ресурсів перераховує та шифрує доступні мережеві ресурси за допомогою API Windows WNet для виявлення як зіставлених, так і незіставлених мережевих розташувань, вказуючи RESOURCETYPE_DISK та RESOURCETYPE_ANY. Під час перерахування він перебирає виявлені мережеві ресурси, але явно пропускає спільні ресурси ADMIN$ та IPC$. Для кожного знайденого доступного мережевого ресурсу модуль створює спеціальні робочі потоки шифрування для обробки процесу шифрування.
Локальний модуль шифрування диска шифрує всі локально підключені диски, спочатку використовуючи функцію GetLogicalDrives для перерахування всіх доступних літер дисків від A до Z. Для кожної літери він перевіряє тип диска за допомогою функції GetDriveTypeW, вибираючи диски, ідентифіковані як DRIVE_REMOVABLE, DRIVE_FIXED або DRIVE_REMOTE, виключаючи диски CD-ROM та мережеві диски. Після побудови шляху до диска (наприклад, “X:\”) він створює спеціальний робочий потік шифрування для кожного перевіреного шляху до диска.
Модуль шифрування віртуальної машини Hyper-V атакує файли віртуальної машини, виконуючи серію вбудованих команд PowerShell. Спочатку він вимикає обмеження PowerShell на машині жертви, щоб забезпечити виконання своїх команд. Потім він виявляє файли віртуальної машини, перераховуючи всі віртуальні машини та витягуючи відповідні шляхи до файлів на їх жорсткому диску. Щоб розблокувати ці файли для шифрування, модуль примусово зупиняє всі запущені віртуальні машини. Після цих необхідних кроків він створює робочі потоки шифрування для шифрування знайдених файлів віртуальної машини. Команди PowerShell, що виконуються модулем:
powershell -c "Set-ExecutionPolicy bypass"
powershell -c "get-vm | format-list"
powershell -c "get-vm | Get-VMHardDiskDrive | ForEach-Object {$_.Path}"
powershell -c "get-vm | stop-vm -force -turnoff"
Програма-вимагач виключає виконувані файли (.exe) та файли динамічної бібліотеки (.dll) разом із папками «Program Files», «Program Files (X86)» та «ProgramData» з процесів шифрування на комп’ютері жертви, дозволяючи жертвам все ще отримувати доступ до системи для зв’язку зі зловмисником.
Версія програми-вимагача Kraken для Linux або ESXi — це 64-розрядний виконуваний файл, написаний на C++ та скомпільований за допомогою інструменту crosstool-NG версії 1.26.0.
На початковому етапі виконання виконуваний файл програми-вимагача Kraken для Linux обробляє параметри командного рядка, вказані зловмисником.
Програма-вимагач запускає модуль виявлення платформи, щоб визначити тип машини жертви, виконуючи команди, зазначені нижче, та адаптуючи поведінку на основі виявленої платформи.
Під час атаки середовищ ESXi програма-вимагач перераховує всі запущені віртуальні машини та примусово намагається їх знищити, виконуючи такі команди, вбудовані у бінарний файл програми-вимагача:
esxcli vm process list esxcli vm process kill --type=force --world-id=
Версія ELF програми-вимагача Kraken виконує багатопотокове шифрування, підтримуючи як «solid — повне шифрування», так і «setp — часткове шифрування». Вона також використовує модуль порівняння продуктивності шифрування, який зловмисник може використовувати під час атаки для розрахунку швидкості шифрування та вирішення питання про повне чи часткове шифрування. Алгоритм порівняння продуктивності подібний до версії програми-вимагача Kraken для Windows, описаної в попередньому розділі.
Він виконує рекурсивний обхід каталогів і шифрує файл на основі типу режиму шифрування, зазначеного зловмисником у параметрі командного рядка, і додає розширення файлу .zpsc до зашифрованих файлів.
Версія ELF програми-вимагача Kraken використовує обфускацію потоку керування зі складною структурою циклу, щоб перешкоджати аналізу, та працює в режимі демона, переходячи на фоновий процес через fork_as_daemon()функцію та продовжуючи роботу, виконуючи шифрування у фоновому режимі. Вона також ігнорує обробники сигналів SIGCHLD (завершення дочірнього процесу) та SIGHUP (зависання терміналу).
Програма-вимагач використовує багатоетапний процес самовидалення та очищення, щоб стерти сліди свого виконання, залишаючи мінімальний артефакт після завершення операції шифрування. Kraken створює bash-скрипт «_bye_bye_.sh» у тому ж каталозі, що й бінарний файл програми-вимагача. Потім він збирає скрипт з командами для видалення файлів журналу, історії оболонки, бінарного файлу програми-вимагача та самого скрипта.
rm -f “/var/logs/*” rm -f “/.ash_history” rm -f “ransomware binary path” rm -f “delete the script _bye_bye_.sh"
Він виконує скрипт за допомогою функції popen popen(“sh \”<deletion_script_path>””,"r"), яка працює в окремому процесі оболонки, і батьківський процес може завершитися до того, як скрипт завершить своє виконання, що допомагає видалити себе до завершення виконання.
Kraken став одним із найпомітніших прикладів того, як швидко еволюціонує сучасний світ програм-вимагачів. Це угруповання працює без жорсткої спеціалізації, комбінує крадіжку даних і шифрування, активно використовує приховані канали доступу та націлюється не лише на Windows, а й на Linux та ESXi. Такий підхід дозволяє зловмисникам завдавати масштабної шкоди у найрізноманітніших інфраструктурах.
