O grupo Kraken, associado a operadores de língua russa e com ligações ao HelloKitty, vem executando ataques cross‑platform que atingem Windows, Linux e VMware ESXi em ambientes corporativos.
Panorama e descoberta
Analistas, incluindo os da Cisco Talos citados nas reportagens, rastrearam operações do Kraken desde agosto de 2025. O grupo se notabilizou por ferramentas específicas para cada plataforma e por uma estratégia de dupla extorsão: cifrar ativos e publicar dados exfiltrados.
Vetores e técnica operacional
O fluxo de ataque descrito envolve exploração de vulnerabilidades SMB em servidores expostos, escalonamento para roubo de credenciais privilegiadas, estabelecimento de persistência via RDP e uso de túneis reversos (por exemplo, Cloudflared) para manter acesso. Ferramentas de exfiltração e SSH Filesystem foram mencionadas como parte da cadeia.
Capacidades do ransomware
Kraken dispõe de versões específicas para Windows, Linux e ESXi, incluindo binários ELF para sistemas Unix. O malware oferece ampla configuração por linha de comando, modos de execução em daemon, e opções para controle de tempo, limites de arquivo e profundidade de cifragem. Criptografia usa RSA‑4096 combinado com ChaCha20. Há modos de cifragem parcial e total, e o malware evita arquivos críticos do sistema para preservar funcionalidade durante negociações.
Organização e infraestrutura criminosa
Os operadores anunciaram em setembro de 2025 a criação do fórum "The Last Haven Board" para comunicação do submundo, com apoio declarado de operadores do HelloKitty. Trocas de nomenclatura de notas de resgate e referências públicas no leak site sustentam a ligação entre essas operações.
Impacto e recomendações
Kraken é notável por sua abordagem multi‑plataforma: organizações que mantêm infraestrutura heterogênea (Windows, Linux e ESXi) devem priorizar controles de exposição externa (firewalls, segmentação), aplicação de patches em SMB e servidores expostos, proteção de credenciais privilegiadas, e monitoramento de túneis reversos e conexões RDP. A presença de benchmarking no código — para medir velocidade de operação sem provocar alarme — aponta sofisticação operacional.
Limitações das informações
As matérias citadas não fornecem indicadores de comprometimento completos nem listas públicas de vítimas identificadas por nome. A atribuição é baseada em análise de infraestrutura, comportamento e artefatos técnicos reportados pelos pesquisadores.
Observação final
O caráter cross‑platform e a modularidade do Kraken elevam o risco para ambientes empresariais com múltiplas pilhas tecnológicas. Equipes de resposta devem considerar exercícios de contenção para ambientes ESXi e planos de recuperação que não dependam apenas de backups locais enquanto investigam sinais de exfiltração.