Kraken ransomware đã nổi lên như một mối đe dọa mạng đáng kể, được xác định bởi Cisco Talos là một nhóm mã độc tống tiền đa nền tảng tinh vi. Nhóm này được cho là đã phát triển từ tàn dư của băng đảng HelloKitty ransomware.

Vào tháng 8 năm 2025, Talos Intelligence đã quan sát thấy nhóm nói tiếng Nga này tiến hành các cuộc tấn công “săn lùng mục tiêu lớn” (big-game hunting) và tống tiền kép (double-extortion) nhắm vào các môi trường doanh nghiệp trên toàn cầu. Sự xuất hiện của Kraken đánh dấu một bước tiến đáng kể trong các mối đe dọa ransomware hiện đại.

Khả năng Đa Nền tảng và Chiến thuật Lây nhiễm của Kraken ransomware

Điểm khác biệt chính của Kraken ransomware so với các gia đình ransomware truyền thống là khả năng đa nền tảng vượt trội. Kraken được trang bị các bộ mã hóa riêng biệt, được thiết kế đặc biệt cho các hệ thống Windows, Linux và VMware ESXi.

Cách tiếp cận kiến trúc này cho phép nhóm tối đa hóa thiệt hại trên nhiều môi trường hạ tầng đa dạng, từ máy chủ truyền thống đến các hệ sinh thái ảo hóa phức tạp.

Chuỗi Lây nhiễm và Tiếp cận Ban đầu

Theo những quan sát từ đội ngũ ứng phó sự cố của Talos, chuỗi lây nhiễm của Kraken bắt đầu bằng việc khai thác các lỗ hổng Server Message Block (SMB) trên các máy chủ lộ ra internet. Sau khi thiết lập quyền truy cập ban đầu, những kẻ tấn công sẽ trích xuất thông tin đăng nhập đặc quyền.

Sau đó, chúng tái nhập môi trường nạn nhân thông qua các kết nối Remote Desktop Protocol (RDP). Chiến thuật này cho thấy sự tinh vi trong việc di chuyển ngang và duy trì quyền truy cập.

Kỹ thuật Duy trì và Rò rỉ Dữ liệu

Nhóm Kraken ransomware sử dụng Cloudflared để duy trì sự hiện diện dai dẳng trong mạng nạn nhân. Đồng thời, chúng sử dụng SSH Filesystem (SSHFS) để đánh cắp dữ liệu trước khi tiến hành mã hóa.

Cách tiếp cận chiến thuật này thể hiện sự tinh vi trong hoạt động của chúng, kết hợp giữa việc trích xuất dữ liệu và chuẩn bị cho giai đoạn mã hóa.

Mô hình Tống tiền Kép và Các Yêu cầu

Kraken ransomware áp dụng mô hình tống tiền kép, kết hợp giữa mã hóa dữ liệu và đánh cắp thông tin. Nạn nhân bị đe dọa công bố dữ liệu đã đánh cắp trên trang rò rỉ dữ liệu (data leak site) của Kraken nếu yêu cầu tiền chuộc không được đáp ứng.

Trong các trường hợp đã được ghi nhận, nhóm này thường yêu cầu khoảng 1 triệu USD bằng Bitcoin. Chúng cam đoan sẽ giải mã và không công bố dữ liệu sau khi nhận được khoản thanh toán.

Tính năng Độc đáo: Encryption Benchmarking

Một tính năng đặc biệt của Kraken ransomware, hiếm khi được quan sát thấy trong các biến thể ransomware hiện đại, là “đánh giá hiệu suất mã hóa” (encryption benchmarking).

Trước khi khởi tạo quá trình mã hóa thực tế, mã độc sẽ kiểm tra hiệu suất của máy nạn nhân để tối ưu hóa cuộc tấn công. Điều này cho phép những kẻ tấn công xác định liệu có nên thực hiện mã hóa toàn bộ hay một phần, dựa trên tài nguyên có sẵn.

Khả năng này giúp tối đa hóa hiệu quả hoạt động đồng thời giảm thiểu rủi ro bị phát hiện do tiêu hao tài nguyên quá mức.

Phân tích Kỹ thuật Biến thể Windows

Biến thể Windows của Kraken ransomware là một file thực thi 32-bit được viết bằng C++. Mã độc này sử dụng các kỹ thuật chống phân tích tinh vi, bao gồm:

• Làm xáo trộn luồng điều khiển (control flow obfuscation): Che giấu logic thực thi của chương trình.
• Thao túng chuyển hướng WoW64 (WoW64 redirection manipulation): Gây khó khăn cho việc gỡ lỗi trên hệ thống 64-bit.
• Chỉnh sửa trình xử lý ngoại lệ (exception handler tampering): Cản trở các công cụ phân tích tự động.

Để ngăn chặn khả năng phục hồi dữ liệu, ransomware này thực hiện các hành động sau:

• Tắt dịch vụ Windows Backup.
• Xóa các điểm khôi phục hệ thống (system restore points).
• Xóa thùng rác (recycle bin).

Nó đặc biệt nhắm mục tiêu vào các cơ sở dữ liệu SQL và các thư mục chia sẻ mạng (network shares). Đáng chú ý, nó vẫn giữ lại các file thực thi và file thư viện để nạn nhân có thể giao tiếp với những kẻ tấn công, điều này là một chiến thuật để đảm bảo quá trình tống tiền diễn ra suôn sẻ.

Biến thể Linux và ESXi

Các biến thể Linux và ESXi của Kraken ransomware thể hiện khả năng thích ứng cụ thể với từng nền tảng. Chúng có khả năng tự động phát hiện loại hệ thống và điều chỉnh hành vi tương ứng.

Trên các hệ thống ESXi, mã độc sẽ buộc dừng các máy ảo đang chạy trước khi tiến hành mã hóa. Cả hai biến thể đều sử dụng mã hóa đa luồng với các thuật toán RSA-4096 và ChaCha20.

Sau khi mã hóa, các file bị ảnh hưởng sẽ được thêm phần mở rộng .zpsc.

Mối liên hệ và Hạ tầng của Kraken ransomware

Thông tin tình báo cho thấy Kraken ransomware có nguồn gốc từ các nhà điều hành HelloKitty. Bằng chứng bao gồm việc sử dụng cùng tên file ghi chú tiền chuộc và các tham chiếu rõ ràng đến HelloKitty trên trang rò rỉ dữ liệu của Kraken.

Vào tháng 9 năm 2025, Kraken đã công bố “The Last Haven Board” – một diễn đàn ngầm mới được thiết kế cho các hoạt động liên lạc ẩn danh của tội phạm mạng. Thông báo này cũng đề cập đến sự hỗ trợ từ các nhà điều hành HelloKitty và WeaCorp, một tổ chức mua bán mã khai thác (exploit buyer organization).

Điều này càng củng cố thêm mối liên hệ tiềm năng với hạ tầng ransomware đã tồn tại và phát triển mạnh mẽ.

Phạm vi Mục tiêu và Biện pháp Phòng ngừa

Kraken ransomware thể hiện mục tiêu cơ hội mà không tập trung vào bất kỳ ngành dọc kinh doanh cụ thể nào. Các nạn nhân đã được ghi nhận trải rộng trên nhiều khu vực địa lý, bao gồm Hoa Kỳ, Vương quốc Anh, Canada, Đan Mạch, Panama và Kuwait. Điều này cho thấy một cách tiếp cận lựa chọn mục tiêu rộng rãi và không phân biệt đối tượng.

Khuyến nghị Tăng cường An ninh Mạng

Để bảo vệ tổ chức khỏi mối đe dọa mạng từ Kraken ransomware, cần triển khai các biện pháp an ninh mạng mạnh mẽ. Các tổ chức nên thực hiện những khuyến nghị sau:

• Phân đoạn mạng SMB mạnh mẽ (robust SMB network segmentation): Giới hạn khả năng lây lan của mã độc.
• Duy trì hệ thống sao lưu hiện tại và cô lập (isolated backup systems): Đảm bảo dữ liệu sao lưu không bị ảnh hưởng và có thể phục hồi.
• Thực thi xác thực đa yếu tố (MFA): Tăng cường bảo mật cho các tài khoản người dùng và truy cập hệ thống.
• Triển khai các công cụ phát hiện hành vi (behavioral detection tools): Có khả năng nhận diện các mô hình thực thi ransomware trên các nền tảng Windows, Linux và ảo hóa.

Thông tin chi tiết về Kraken ransomware và các quan sát từ Talos Intelligence có thể được tìm thấy tại Cisco Talos Intelligence Blog.