Un rescate de 1 millón de dólares y un foro privado: Kraken construye un metaverso para las leyendas del cibercrimen

Los especialistas de Cisco Talos detectaron una oleada activa de ataques que utiliza un nuevo software de extorsión llamado Kraken. El grupo inició sus actividades en febrero de 2025 y emplea métodos de doble extorsión, sin limitarse a sectores concretos. Entre las víctimas figuran empresas de Estados Unidos, Reino Unido, Canadá, Dinamarca, Panamá y Kuwait.

Kraken infecta Windows, Linux y VMware ESXi, aplicando versiones separadas del cifrador para cada sistema. El programa usa la extensión de archivos .zpsc y deja una nota llamada «readme_you_ws_hacked.txt», amenazando con publicar los datos en su sitio de filtraciones. En un caso los atacantes exigieron un rescate de aproximadamente 1 millón de dólares en bitcoins.

En una de las intrusiones, los atacantes explotaron una vulnerabilidad en SMB para el acceso inicial; luego se afianzaron en el sistema mediante la herramienta de tunelización Cloudflared, y usaron la utilidad SSHFS para robar datos. Tras obtener privilegios, se movieron por la red mediante RDP y desplegaron el cifrador en otras máquinas.

Kraken se ejecuta con numerosos parámetros, incluidos cifrado total o parcial, selección del tamaño de bloques, retraso en la ejecución y una prueba de rendimiento. Antes de cifrar, el programa evalúa la capacidad del sistema y selecciona el modo más eficaz: esto ayuda a causar el mayor daño posible sin provocar sobrecarga ni sospechas.

En Windows, Kraken está implementado como una aplicación de 32 bits en C++, posiblemente empaquetada con Go. Desactiva el redireccionamiento del sistema de archivos WoW64, obtiene privilegios de depuración, detiene los servicios de copia de seguridad, elimina los puntos de restauración y vacía la papelera. En el sistema solo quedan accesibles los directorios que permiten a la víctima ponerse en contacto con el operador.

El cifrador ataca en paralelo bases de datos SQL, discos locales, recursos de red y máquinas virtuales Hyper-V, usando comandos de PowerShell para detener las VM y obtener las rutas a sus almacenes. Evita las carpetas del sistema y los archivos ejecutables para preservar la operatividad del sistema operativo.

La versión para Linux/ESXi está escrita en C++ y utiliza crosstool-NG. Al inicio, el programa determina el tipo de sistema y adapta su comportamiento a ESXi, Nutanix, Ubuntu o Synology. En el entorno ESXi finaliza las máquinas virtuales antes de cifrar. También emplea mecanismos para evadir el análisis: modo demonio, ignorar las señales SIGCHLD y SIGHUP, y al terminar el cifrado ejecuta un script de borrado de huellas que elimina registros, el historial del shell y el binario.

Kraken mantiene una actividad activa en la darknet. En su sitio, el grupo anunció el lanzamiento del foro clandestino «The Last Haven Board», que se presenta como una plataforma anónima para la comunidad delictiva cibernética. Según los moderadores, al proyecto se unieron antiguos miembros de HelloKitty y el grupo WeaCorp, dedicado a la compra de exploits. Según Talos, HelloKitty fue la fuente para la creación de Kraken: ambos grupos usan nombres idénticos en las notas de rescate, así como elementos visuales del blog.

Kraken es uno de los programas de extorsión técnicamente más avanzados en la actualidad: con la capacidad de evaluar el rendimiento del sistema antes del ataque, adaptarse a diferentes plataformas y emplear métodos complejos para ocultar rastros. Además de la arquitectura bien pensada del cifrador, el grupo muestra actividad en la darknet, promoviendo su propia plataforma y recibiendo apoyo de actores conocidos en el ambiente delictivo cibernético. Teniendo en cuenta su escala, alcance y ritmo de desarrollo, Kraken podría convertirse en una de las principales amenazas para las infraestructuras corporativas en el futuro inmediato.