Krakenは、HelloKittyカルテルの残党から現れたロシア語圏のグループであり、ビッグゲームハンティング事件や二重恐喝攻撃を8月2025年に実施したことがCisco Talosによって観測され、先週公開されたアドバイザリで詳細が報告されました。
このグループは、Server Message Block(SMB)の脆弱性を悪用して侵入し、その後Cloudflareを永続化に利用し、SSH Filesystem(SSHFS)で暗号化前にデータを窃取する手口と関連付けられています。
KrakenのツールキットはWindows、Linux、VMware ESXiに対応しており、多くの企業環境に影響を及ぼすことができます。
新たなランサムウェア亜種
新しい点は、Krakenが被害マシンがどれだけ速く暗号化処理できるかを測定するという異例のベンチマーク手順を導入していることです。これにより攻撃者は、最大限の効果を発揮しつつ、システムの不安定化や検知のリスクを低減する暗号化方式を調整できます。
またグループは、サイバー犯罪の協力拠点として安全なハブを作る目的で、リークサイト上に新たなアンダーグラウンドディスカッションスペース「The Last Haven Board」を発表しました。
Krakenは2025年2月から活動しており、二重恐喝を利用し、特定の業種に特化せず機会主義的に攻撃しているようです。
同グループのサイトに掲載された被害者には、米国、英国、カナダ、デンマーク、パナマ、クウェートの組織が含まれています。
ファイルには.zpsc拡張子を付与し、readme_you_ws_hacked.txtというタイトルの身代金要求メモを発行し、同グループのオニオンサービスを通じて連絡があった場合は盗んだファイルを公開すると脅迫します。
ランサムウェアリークサイトについて詳しくはこちら:リークサイトのランサムウェア被害者が1年で13%増加
外部報告およびTalosの観測によると、HelloKitty脅威グループとの重複の可能性が示唆されています。KrakenのリークポータルにはHelloKittyの名前が記載されており、両グループは同じ身代金要求メモのファイル名を使用しています。
Last Havenの立ち上げには、HelloKittyの運営者やエクスプロイト購入組織WeaCorpの支援があったとされており、Krakenが以前のカルテルから派生したという説を裏付けています。
Krakenの攻撃手法
Talosは、Krakenの攻撃者が公開されたSMBサービスから侵入し、特権認証情報を抽出した後、リモートデスクトップ経由で再侵入した事例を記録しました。
その後、Cloudflareをインストールしてアクセスを維持し、SSHFSを展開してデータを閲覧・窃取、リモートデスクトッププロトコル(RDP)経由でネットワーク全体に暗号化ツールを配布しました。攻撃者は約100万ドル相当のビットコインを要求し、支払い後に復号と非公開を約束しました。
Krakenの戦術の主な要素は以下の通りです:
-
クロスプラットフォーム対応の暗号化ツール
-
ベンチマークに基づく暗号化方式の決定
-
SQLデータベース、ネットワーク共有、ローカルドライブ、仮想マシンを標的とするマルチスレッドモジュール
Talosは、この活動をHelloKittyカルテル崩壊後の空白を埋めようとする組織化が進むグループによるものとしています。
このような脅威に対抗するため、組織は認証情報管理の強化、リモートサービスの公開制限、バックアップ戦略の強化、異常なトンネリングやデータアクセスの早期検知のための継続的な監視を導入するべきです。
翻訳元: https://www.infosecurity-magazine.com/news/kraken-benchmarking-enhance/
