Threat Intelligence

Kraken

Aus den Resten von HelloKitty entstanden, brachte Kraken echte Windows-/Linux-/ESXi-Verschlüsselung mit Opfer-Benchmarking – ist seit 2025 aber verstummt.

Kurz erklärt

Kraken ist eine Anfang 2025 aus dem HelloKitty-Umfeld hervorgegangene Ransomware-Gruppe mit echten plattformübergreifenden Encryptoren (Windows/Linux/ESXi) und der Besonderheit, das Opfersystem vor der Verschlüsselung zu „benchmarken“. Nach kurzer Aktivität ist die Gruppe seit Mitte 2025 verstummt.

Historisch

Modell

Geschlossenes Big-Game-Hunting (Double Extortion)

Auch bekannt als

Kraken (nicht „Kraken Cryptor“ 2018 oder das gleichnamige Botnet); HelloKitty-Linie

Gegründet

Februar 2025

Entstanden aus

Aus den Resten des HelloKitty-Kartells

Herkunft

Russischsprachige Betreiber (Herkunftsland unbekannt)

Zielsektoren

Technologie, Business-Services, Transport/Logistik

Zielregionen

Nordamerika (USA/Kanada), UK, Dänemark, Panama, Kuwait; kein DACH-Bezug berichtet

Typisches Lösegeld

~1 Mio. USD (in mind. einem Fall)

Opferzahl

~25 Opfer; seit ~Mitte 2025 keine neue Aktivität

File Extensions

.zpsc

Ransom Note

readme_you_ws_hacked.txt (identisch mit HelloKitty)

Handlungsempfehlungen im Ernstfall

✅ Sofort tun
  • Ruhe bewahren und den Vorfall als Krise behandeln – Geschäftsführung und einen Incident-Response-Dienstleister sofort einbinden.
  • Betroffene Systeme isolieren, aber nicht ausschalten – flüchtige Spuren sichern.
  • Exponierte SMB-/RDP-Dienste prüfen und sperren – Krakens Einstieg; ESXi und Backups gesondert absichern.
  • Backups sofort prüfen und offline sichern.
  • Vorfall dokumentieren; Meldepflichten prüfen: DSGVO (72 h), ggf. NIS2 (24 h); BSI und Polizei einbeziehen.
  • 24/7-Incident-Response kontaktieren – je früher, desto begrenzbarer der Schaden.
⛔ Unbedingt vermeiden
  • SMB/RDP nicht offen ins Internet stellen; VMs/ESXi nicht ungeschützt lassen.
  • Nicht vorschnell Lösegeld zahlen – keine Garantie; Zahlungen können sanktions- und strafrechtlich relevant sein.
  • Systeme nicht neu aufsetzen, bevor die Forensik gesichert ist.
  • Nicht allein mit den Angreifern verhandeln – nur über erfahrene IR-/Verhandlungsexperten.
  • Keine dubiosen „Entschlüsselungs-Tools“ aus dem Netz einsetzen.
  • Den Vorfall nicht verschweigen oder verzögern – Meldefristen laufen ab Kenntnisnahme.

Bekannte Angriffe

  • Mada Communications (Kuwait, Juli 2025)
  • Dectron/Circul-Aire (Mai 2025)
  • SMB-Einbruch mit ~1 Mio. USD Forderung (Aug. 2025, Cisco Talos)

Angriffstechniken (TTPs)

  • Initial Access: SMB-Schwachstellen auf exponierten Servern, Credential-Harvesting, RDP-Wiedereinstieg.
    • Keine offiziellen CVEs veröffentlicht (Talos: „SMB-Schwachstellen“)
    • MITRE (inferred): T1021.001/.002, T1490
  • Werkzeuge: Cloudflared (Tunnel), SSHFS (Exfil), RDP, vssadmin (Schattenkopien löschen).

Technologie & Malware

Sprache: C++ (Windows), Linux (crosstool-NG).

Verschlüsselung: RSA-4096 + ChaCha20.

Plattformen: Windows, Linux, VMware ESXi (erkennt ESXi/Nutanix/Synology). Besonderheit: benchmarkt das Opfersystem, um die Verschlüsselung zu optimieren.

Indicators of Compromise (IOCs)

  • File Extension: .zpsc
  • Ransom Note: readme_you_ws_hacked.txt (HelloKitty-Indikator)
  • Befehl: vssadmin delete shadows; Tools Cloudflared, SSHFS
  • Erkennung: ClamAV Win.Ransomware.Kraken

Was Unternehmen jetzt prüfen sollten

  • SMB härten und exponierte Server schützen
  • RDP absichern (MFA, keine offene Exposition)
  • ESXi- und Backup-Schutz

Wie Argos unterstützt

Angriffsflächen-Management und 24/7-Erkennung im Cyber Defense Center adressieren SMB-/RDP-Einstiege und ESXi-Verschlüsselung.