Unleashing the Kraken: wie of wat is deze ransomware-groep?

duda-wsm • 18 november 2025

New Title

Cisco Talos beschrijft in dit artikel de opkomst van Kraken, een nieuwe Russische ransomware-groep die in februari 2025 is verschenen. De groep gebruikt “big-game hunting” en double extortion: eerst data stelen, daarna systemen versleutelen en slachtoffers chanteren met zowel dataverlies als publicatie op een lek-site. Slachtoffers zitten verspreid over o.a. de VS, VK, Canada, Denemarken, Panama en Koeweit. Cisco Talos Blog


Kraken versleutelt bestanden met de extensie .zpsc en laat een losgeldbrief achter met de titel readme_you_ws_hacked.txt. Slachtoffers moeten via een .onion-adres contact opnemen. In een geobserveerd incident werd rond 1 miljoen dollar in bitcoin geëist, met de belofte om daarna te ontsleutelen en de gestolen data niet te publiceren.


Link met de HelloKitty-groep

Volgens externe rapporten en eigen observaties van Talos lijkt Kraken voort te komen uit de restanten van de HelloKitty-ransomware of te zijn opgezet door ex-leden. Op de datalek-site van Kraken wordt HelloKitty expliciet genoemd, en beide groepen gebruiken hetzelfde bestandsnaampatroon voor hun losgeldbrief. 


Daarnaast kondigde Kraken in september 2025 een nieuw ondergronds forum aan: “The Last Haven Board”. Dit moet een anoniem communicatieplatform voor cybercriminelen worden. Op dat forum wordt steun van het HelloKitty-team en een exploit-buyer organisatie (WeaCorp) genoemd, wat de vermoedelijke link tussen de groepen verder versterkt.


Hoe verloopt een aanval?

In een onderzocht incident begon de aanval met misbruik van een kwetsbaarheid in een via internet blootgestelde SMB-dienst. Na eerste toegang verzamelden de aanvallers beheerders- en andere geprivilegieerde accounts. Vervolgens logden ze opnieuw in via RDP met die gestolen accounts.

Daarna:

  • Installeren ze Cloudflared om een reverse tunnel op te zetten en zo een blijvende verbinding te houden.
  • Gebruiken ze SSHFS om door de omgeving te bladeren en data naar buiten te kopiëren.
  • Verspreiden ze de ransomware-binary via RDP naar andere systemen en starten daar de encryptie.


Technische kenmerken van Kraken

Kraken is een cross-platform ransomwarefamilie met encryptors voor Windows, Linux en VMware ESXi. De malware biedt veel command-line opties om het gedrag aan te passen, zoals: alleen een bepaald pad versleutelen, alleen een deel van bestanden, alleen een losgeldbrief droppen of eerst performance-tests uitvoeren. Cisco Talos Blog

Voor de versleuteling gebruikt Kraken een combinatie van RSA (4096-bit) en ChaCha20. Bijzonder is de ingebouwde benchmarking: de malware maakt een tijdelijk testbestand, versleutelt dit en meet de snelheid. Op basis daarvan beslist de actor of volledige of gedeeltelijke encryptie het meest effectief is, zonder het systeem zo zwaar te belasten dat detectie door monitoring eenvoudiger wordt.

Bron: Cisco Talos Blog


Blog en nieuws

Kamer wil opheldering over AVG-aanpassingen die Brussel wil doorvoeren

door duda-wsm 18 november 2025
Die Kamer toch

Google brengt updates uit voor actief aangevallen kwetsbaarheid in Chrome

door duda-wsm 18 november 2025
Die Google toch