Kraken ransomware: Chiêu “săn mồi” biến tấu theo từng mục tiêu, mối đe dọa không chừa một ai

[Kaya]

Cuối năm 2025, cộng đồng an ninh mạng tiếp tục chứng kiến sự trở lại của một cái tên đầy ám ảnh: Kraken ransomware. Dù mới xuất hiện từ đầu năm, Kraken đã nhanh chóng leo lên nhóm các chiến dịch tấn công nguy hiểm nhắm vào hệ thống doanh nghiệp, đặc biệt là môi trường Windows, Linux và VMware ESXi.

Không chỉ mã hóa dữ liệu, Kraken còn có khả năng “thử tốc độ” của từng máy để quyết định cách mã hóa, giúp tối ưu tốc độ phá hoại mà không khiến hệ thống quá tải – một kỹ thuật cực hiếm trong thế giới ransomware.

Kraken được xem là “hậu duệ trực tiếp” của HelloKitty – nhóm tội phạm từng gây rúng động năm 2021. Điều này khiến nhiều chuyên gia tự hỏi: Điều gì khiến Kraken xuất hiện đúng lúc, mạnh mẽ hơn và tinh vi hơn trước?

Kraken là ai và xuất hiện như thế nào?​

Kraken ransomware lần đầu được ghi nhận đầu năm nay, được xem như sự nối dài hoạt động của băng nhóm HelloKitty – nhóm từng bị rò rỉ mã nguồn và cố gắng tái sinh dưới nhiều tên gọi. Có nhiều điểm tương đồng trong ghi chú tống tiền, cấu trúc hoạt động và thông tin trên trang rò rỉ dữ liệu của Kraken cho thấy sự liên hệ trực tiếp giữa hai nhóm.

Đến nay, Kraken đã công bố danh sách nạn nhân thuộc nhiều quốc gia:

• Mỹ
• Anh
• Canada
• Panama
• Kuwait
• Đan Mạch

Kraken không chỉ tấn công mà còn mở rộng hoạt động bằng cách lập diễn đàn tội phạm mới "The Last Haven Board" nhằm phục vụ liên lạc và trao đổi cho cộng đồng tấn công mạng ngầm.

Kraken được phát hiện như thế nào và điều gì khiến nó đặc biệt?​

Kraken sở hữu khả năng rất hiếm là có thể tự kiểm tra hiệu suất từng máy trước khi mã hóa, nhằm quyết định nên dùng mã hóa toàn phần hay một phần (thăm dò trước "con mồi" mà mình nhắm tới để đưa ra phương án tấn công chính xác và hiệu quả nhất.

Quy trình “benchmark” này gồm:

1. Tạo tệp tạm chứa dữ liệu ngẫu nhiên
2. Mã hóa thử trong một khoảng thời gian đo được
3. Tính tốc độ và xóa tệp
4. Dựa trên kết quả để chọn chế độ mã hóa

Nói cách khác, Kraken tự điều chỉnh để phá hoại nhanh nhất nhưng vẫn tránh gây quá tải, nhằm qua mặt hệ thống giám sát và tạo ảnh hưởng tối đa.

Phân tích chuỗi tấn công của Kraken​

Kraken thực hiện tấn công theo chuỗi khá rõ ràng:

Bước 1: Tấn công ban đầu​

Kraken khai thác lỗ hổng SMB trên các máy chủ/thiết bị kết nối Internet để xâm nhập.

Bước 2: Lấy cắp thông tin đăng nhập​

Kẻ tấn công trích xuất tài khoản quản trị, sau đó quay lại bằng RDP, cài đặt hai công cụ:

• Cloudflared – tạo tunnel ngược kết nối về hạ tầng hacker
• SSHFS – công cụ cho phép trộm dữ liệu qua ổ đĩa gắn từ xa

Bước 3: Di chuyển ngang​

Chúng dùng các tunnel và RDP để lần lượt truy cập các máy trong hệ thống, thu thập dữ liệu giá trị trước khi triển khai mã độc.

Bước 4: Chuẩn bị mã hóa​

• Xóa shadow copy và Recycle Bin
• Dừng các dịch vụ sao lưu
• Kiểm tra tốc độ máy để chọn cách mã hóa

Bước 5: Tiến hành mã hóa​

Phiên bản Windows có 4 module:

1. SQL Database – tìm và mã hóa file dữ liệu SQL
2. Network Share – mã hóa tất cả các ổ chia sẻ trong mạng
3. Local Drive – quét và mã hóa tất cả ổ ở máy cục bộ
4. Hyper-V – dừng VM và mã hóa đĩa ảo

Phiên bản Linux/ESXi thì dừng VM, sau đó mã hóa toàn bộ hoặc một phần tùy kết quả benchmark. Tất cả file bị mã hóa gắn đuôi .zpsc và ghi chú tống tiền readme_you_ws_hacked.txt. Một số nạn nhân bị đòi 1 triệu USD bằng Bitcoin. Cuối cùng, Kraken chạy script bye_bye.sh để xóa sạch log, shell history và cả chính nó.

Vì sao Kraken nguy hiểm và khó đối phó?​

Kraken đặt ra nhiều thách thức với cả doanh nghiệp lẫn chuyên gia an ninh:

• Tự đo tốc độ trước khi mã hóa → nhanh, tối ưu, khó bị phát hiện
• Tấn công cả Windows và Linux/ESXi → phạm vi ảnh hưởng rộng
• Tập trung vào VM và server → gây gián đoạn hệ thống lớn
• Tự xóa dấu vết sau tấn công → khó phân tích điều tra
• Kết hợp trộm dữ liệu + tống tiền → mô hình double extortion cực kỳ nguy hiểm

Đối với doanh nghiệp, một cuộc tấn công thành công có thể khiến:

• Hệ thống server dừng hoạt động
• Mất dữ liệu quan trọng
• Nguy cơ rò rỉ thông tin khách hàng
• Thiệt hại tài chính nghiêm trọng
• Gián đoạn chuỗi vận hành và uy tín

Dấu hiệu nguy cơ​

• Xuất hiện Cloudflared bất thường trên máy chủ
• Máy bị đăng nhập RDP từ IP lạ
• Lưu lượng dữ liệu tăng bất thường qua SSHFS
• Các VM bị tắt không rõ lý do
• File gắn đuôi .zpsc hoặc ghi chú tống tiền

Giải pháp khuyến nghị​

• Cập nhật ngay các bản vá liên quan SMB, RDP, VM
• Tắt RDP hoặc giới hạn qua VPN/Zero Trust
• Cấu hình giám sát các công cụ như Cloudflared, SSHFS
• Tách biệt phân quyền admin; bật MFA
• Sao lưu dữ liệu theo mô hình 3-2-1, lưu offline định kỳ
• Giám sát log hoạt động VM và share nội bộ
• Sử dụng EDR/IDS để phát hiện di chuyển ngang
• Kiểm thử thâm nhập (pentest) định kỳ cho hệ thống

Kraken không phải ransomware đầu tiên nhắm vào máy chủ và môi trường ảo hóa, nhưng lại là một trong những nhóm hiếm hoi biết tự tối ưu tốc độ phá hoại theo từng nạn nhân. Điều này cho thấy ransomware đang bước sang giai đoạn mới: tinh vi hơn, thông minh hơn và nguy hiểm hơn. Khi tội phạm mạng mở rộng hoạt động với diễn đàn riêng và nhắm vào các hệ thống trọng yếu, doanh nghiệp cần chủ động phòng thủ, giám sát liên tục và nâng cấp hệ thống bảo mật.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview