Un nouveau nom circule dans l’écosystème cybercriminel. Kraken, gang russophone né des cendres de HelloKitty, cible les environnements Windows, Linux et ESXi, pratique la double extorsion et s’offre un tour de chauffe avant chaque attaque en mesurant les performances de la machine pour optimiser son chiffrement.
Cisco Talos commence à peine à lever le voile sur Kraken, un ransomware apparu en février 2025 et déjà positionné sur le créneau de la chasse au gros poisson. Selon les chercheurs, ce groupe russophone reprend le flambeau du cartel HelloKitty et s’en prend à des organisations de plusieurs régions du globe, des États-Unis à l'Europe en passant par le Moyen-Orient. Depuis, Kraken multiplie les compromissions et revendique ses opérations sur un forum clandestin, avec une stratégie de double extorsion qui ne s’embarrasse d’aucun secteur en particulier.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un ransomware multi-plateforme, taillé pour les environnements critiques
L’enquête de Cisco Talos décrit un groupe qui exploite un service SMB vulnérable exposé en ligne, récupère des identifiants administrateur et étend sa présence dans l’infrastructure jusqu’à déployer le ransomware sur plusieurs machines. Les éléments sont exfiltrés avant le chiffrement et utilisés comme levier d’extorsion, les opérateurs n’hésitant pas à réclamer des montants à sept chiffres en bitcoin, puis publiés sur un site de fuite de données pour accentuer la pression sur les victimes tardant à payer.
Dans le détail, une fois le réseau infiltré, Kraken utilise des variantes spécifiques du ransomware pour Windows, Linux et ESXi. Le binaire Windows, un exécutable 32 bits en C++, s’appuie sur un jeu complet de paramètres en ligne de commande. Il peut cibler un chemin précis, différer son exécution, se limiter aux premiers mégaoctets des fichiers ou au contraire appliquer un chiffrement intégral. Sous le capot, il combine RSA 4096 bits et ChaCha20 pour chiffrer les données, tout en excluant certains dossiers système et binaires afin de maintenir le système suffisamment fonctionnel pour que la victime puisse communiquer avec les attaquants.
Les variantes Linux et ESXi prolongent cette approche en l’ajustant à l’infrastructure. Le binaire ELF identifie la plateforme qu’il infecte, reconnaît au passage les environnements ESXi, Nutanix, Ubuntu ou certains NAS Synology, puis s’exécute en mode daemon. Il dresse alors la liste des machines virtuelles et tente de les arrêter de force avant de chiffrer les fichiers. Un script de nettoyage vient conclure l’attaque en supprimant journaux, historique de commandes, binaire et script, afin de limiter au maximum les traces laissées sur le système.
Le point le plus singulier reste la capacité de Kraken à jauger les performances de la machine avant de chiffrer quoi que ce soit. Le ransomware mesure la vitesse de chiffrement qu’il peut atteindre et ajuste ensuite son mode opératoire (chiffrement complet ou partiel) afin de causer un maximum de dégâts en un minimum de temps, tout en évitant d'épuiser les ressources et d’alerter trop vite les équipes de sécurité.
Comment se protéger de Kraken
Quand on regarde la façon dont Kraken s’invite dans une infrastructure, on réalise vite que quelques réflexes suffisent parfois à éviter des sueurs froides. Les services encore exposés en ligne, souvent par habitude ou par oubli, constituent des points d’entrée beaucoup trop confortables. Un partage SMB visible depuis Internet suffit à déclencher l’intrusion, ce qui rappelle l’intérêt de vérifier régulièrement ce qui est réellement accessible et de couper tout ce qui ne devrait pas l’être.
La gestion des comptes à privilèges fait ensuite toute la différence. Des identifiants administrateur mal protégés ou trop répandus facilitent la progression une fois la première machine compromise. Une authentification multifacteur vraiment appliquée, des droits mieux segmentés et une surveillance plus attentive des accès sensibles créent assez de résistance pour freiner l’attaquant et laisser une chance d’intervenir avant que la situation ne dérape.
Kraken reposant sur un schéma d’exfiltration puis de chiffrement, les sauvegardes jouent aussi un rôle clé dans les mesures de prévention. Des copies isolées du réseau de production, des instantanés hors ligne ou conservés dans un coffre immuable et des restaurations testées quotidiennement permettent de remettre l’activité sur pied sans dépendre des opérateurs, même lorsque des données ont déjà été siphonnées.
Kraken vise des hyperviseurs, des partages réseau ou des bases SQL et ajuste son chiffrement au matériel qu’il rencontre, ce qui produit des signaux que l’on repère mieux avec une supervision attentive, un antivirus solide et des règles de détection à jour. Une activité inhabituelle sur un serveur clé, un transfert sortant un peu trop massif ou un comportement qui détonne dans les logs permet souvent de repérer les préparatifs et parfois d’intervenir avant que le chiffrement ne débute.
Source : Cisco Talos
