El ransomware Kraken, heredero directo de la familia HelloKitty, ha irrumpido con una técnica tan peligrosa como innovadora: realiza benchmarks en cada máquina antes de cifrarla, eligiendo entre cifrado completo o parcial según el rendimiento del sistema.
Esta capacidad (poco común incluso entre grupos avanzados) permite a Kraken causar el mayor daño posible sin levantar sospechas, evitando un consumo excesivo de CPU que delataría la actividad maliciosa.
La amenaza no solo ataca Windows, también cifra sistemas Linux y entornos VMware ESXi, convirtiéndose en un enemigo capaz de destruir infraestructuras completas.
¿Qué es Kraken? El regreso silencioso de HelloKitty
Kraken apareció a comienzos de este año como continuación del ransomware HelloKitty, famoso por robar datos, cifrar infraestructuras críticas y extorsionar con doble amenaza.
Las similitudes entre notas de rescate, infraestructura y estilo operativo apuntan a un mismo origen.
Además, el grupo ha inaugurado su propio foro criminal: The Last Haven Board, un espacio para coordinar ataques y compartir recursos entre delincuentes.
Kraken apunta a grandes empresas (Big Game Hunting)
En sus portales de filtración se observan víctimas en:
- Estados Unidos
- Reino Unido
- Canadá
- Panamá
- Dinamarca
- Kuwait
Esto confirma que Kraken está orientado a ataques dirigidos, no a campañas masivas.
Cadena de ataque de Kraken: así infiltra, persiste y destruye
El análisis de Cisco Talos muestra un método de ataque metódico y complejo:
1. Acceso inicial
Generalmente mediante vulnerabilidades SMB en sistemas expuestos a Internet.
2. Robo de credenciales
Tras comprometer el perímetro, los atacantes obtienen credenciales de administrador.
3. Reingreso vía RDP
Utilizan las cuentas robadas para volver a entrar y preparar movimiento lateral.
4. Uso de herramientas legítimas
Instalan:
- Cloudflared > túneles inversos para conectarse a la red de la víctima
- SSHFS > para exfiltrar datos mediante sistemas remotos montados
5. Movimiento lateral
Mediante RDP y túneles cifrados, acceden a todos los equipos disponibles.
6. Exfiltración
Roban datos sensibles antes del cifrado final.
7. Cifrado simultáneo en múltiples sistemas
Windows, Linux y ESXi son atacados estratégicamente.
La función más temida: Benchmarking del sistema antes de cifrar
Kraken incluye una función rarísima en ransomware:
👉 Crea un archivo temporal con datos aleatorios
👉 Lo cifra y mide cuánto tarda el equipo
👉 Decide si conviene cifrado total o parcial
Esto tiene dos grandes ventajas para los atacantes:
- Evitar alertas de seguridad por consumo inusual de CPU (el cifrado total puede disparar alertas de EDR y SIEM)
- Garantizar el mayor daño posible en el menor tiempo: si el equipo es lento > cifrado parcial. Si es rápido > cifrado completo
Este nivel de adaptabilidad demuestra una ingeniería avanzada.
Limpieza y sabotaje antes de cifrar
Antes de la fase final, Kraken ejecuta:
- Borrado de Shadow Copies
- Vaciado de la Papelera de reciclaje
- Eliminación de historiales
- Finalización de servicios de copia de seguridad
Todo esto garantiza que el rescate sea la única opción para recuperar datos.
Versiones de Kraken: ventanas, Linux y ESXi
Kraken para Windows incorpora 4 módulos de ataque..
1. SQL Database
Detecta MS SQL Server > Identifica rutas > Cifra bases de datos.
2. Network Share
Enumera recursos compartidos > Cifra todo salvo ADMIN$ e IPC$.
3. Local Drives
Cifra discos locales, extraíbles y remotos con hilos independientes.
4. Hyper-V
Detiene VMs > Obtiene VHD/VHDX > Cifra discos virtuales.
Kraken para Linux/ESXi es igual de destructivo
- Enumera máquinas virtuales
- Las apaga por la fuerza
- Cifra discos completos o parcialmente
- Usa multihilos para maximizar el impacto
Al finalizar, ejecuta bye_bye.sh para borrar logs, historial y sí mismo.
Nota de rescate y extensión de archivos
Extensión añadida: .zpsc, con nota de rescate: readme_you_ws_hacked.txt. En la que se ha registrado una exigencia de rescate de 1 millón de dólares en Bitcoin.
¿Por qué Kraken es tan peligroso?
✔ Se autooptimiza para evitar detección
✔ Cifra sistemas críticos como ESXi e Hyper-V
✔ Elimina toda posibilidad de restauración local
✔ Roba datos antes del cifrado
✔ Tiene infraestructura profesional (foros, portal y soporte criminal)
Kraken no es un ransomware más: es una nueva generación más rápida, más sigilosa y más destructiva.