Διέρρευσε ο πηγαίος κώδικας του HelloKitty ransomware στο φόρουμ hacking

Ένας ηθοποιός απειλών διέρρευσε τον πλήρη πηγαίο κώδικα για την πρώτη έκδοση του ransomware HelloKitty σε ένα ρωσόφωνο φόρουμ hacking, ισχυριζόμενος ότι αναπτύσσει έναν νέο, πιο ισχυρό

κρυπτο

γράφηση.

Η διαρροή ήταν

ανακαλύφθηκε για πρώτη φορά

από τον ερευνητή κυβερνοασφάλειας 3xp0rt, ο οποίος εντόπισε έναν ηθοποιό απειλών με το όνομα ‘kapuchin0′ να απελευθερώνει τον “πρώτο κλάδο” του κρυπτογράφησης ransomware HelloKitty.

Ενώ ο πηγαίος κώδικας κυκλοφόρησε από κάποιον με το όνομα ‘kapuchin0′, ο 3xp0rt είπε στο BleepingComputer ότι ο ηθοποιός απειλής χρησιμοποιεί επίσης το ψευδώνυμο ‘Gookee’.

Ένας ηθοποιός απειλών ονόματι Gookee έχει συσχετιστεί στο παρελθόν με κακόβουλο λογισμικό και δραστηριότητα hacking,

προσπαθώντας να πουλήσει πρόσβαση

στο Sony

Network

Japan το 2020, που συνδέεται με μια λειτουργία Ransomware-as-a-Service που ονομάζεται “

Gookee Ransomware

και προσπαθεί να πουλήσει τον πηγαίο κώδικα κακόβουλου λογισμικού σε ένα φόρουμ χάκερ.

Ο 3xp0rt πιστεύει ότι ο kapuchin0/Gookee είναι ο προγραμματιστής του HelloKitty ransomware, ο οποίος λέει τώρα, “Ετοιμάζουμε ένα νέο προϊόν και πολύ πιο ενδιαφέρον από το Lockbit.”

Το αρχείο hellokitty.zip που κυκλοφόρησε περιέχει μια λύση του

Microsoft

Visual Studio που δημιουργεί τον κρυπτογράφηση και αποκρυπτογράφηση HelloKitty και το

NTRUEκρυπτογράφηση

βιβλιοθήκη που χρησιμοποιεί αυτή η έκδοση του ransomware για την κρυπτογράφηση αρχείων.

Ο ειδικός ransomware Michael Gillespie επιβεβαίωσε στο BleepingComputer ότι αυτός είναι ο νόμιμος πηγαίος κώδικας για το HelloKitty που χρησιμοποιήθηκε όταν η λειτουργία ransomware ξεκίνησε για πρώτη φορά το 2020.

Ενώ η κυκλοφορία του πηγαίου κώδικα ransomware μπορεί να είναι χρήσιμη για την έρευνα ασφάλειας, η δημόσια διαθεσιμότητα αυτού του κώδικα έχει τα μειονεκτήματά της.

Όπως είδαμε όταν κυκλοφόρησε το HiddenTear (

για «εκπαιδευτικούς λόγους»

) και ο πηγαίος κώδικας ransomware Babuk κυκλοφόρησε, οι φορείς απειλών χρησιμοποίησαν γρήγορα τον κώδικα για να ξεκινήσουν τις δικές τους επιχειρήσεις εκβιασμού.

Μέχρι σήμερα, περισσότερες από εννέα λειτουργίες ransomware συνεχίζουν να χρησιμοποιούν τον πηγαίο κώδικα Babuk ως βάση για τους δικούς τους κρυπτογραφητές.

Ποιος είναι η HelloKitty;

Το HelloKity είναι μια επιχείρηση ransomware που λειτουργεί από τον άνθρωπο και είναι ενεργή από τον Νοέμβριο του 2020, όταν ένα θύμα δημοσίευσε στα φόρουμ BleepingComputer, με το FBI να δημοσιεύει αργότερα ένα PIN (ειδοποίηση ιδιωτικής βιομηχανίας) στην ομάδα τον Ιανουάριο του 2021.

Η συμμορία είναι γνωστή για την παραβίαση εταιρικών δικτύων, την κλοπή δεδομένων και την κρυπτογράφηση συστημάτων. Τα κρυπτογραφημένα αρχεία και τα κλεμμένα δεδομένα χρησιμοποιούνται στη συνέχεια ως μόχλευση σε μηχανές διπλού εκβιασμού, όπου οι φορείς απειλών απειλούν να διαρρεύσουν δεδομένα εάν δεν πληρωθούν λύτρα.

Το HelloKitty είναι γνωστό για πολυάριθμες επιθέσεις και χρησιμοποιείται από άλλες επιχειρήσεις ransomware, αλλά η πιο δημοσιευμένη επίθεση ήταν αυτή στο CD Projekt Red τον Φεβρουάριο του 2021.

Κατά τη διάρκεια αυτής της επίθεσης, οι ηθοποιοί της απειλής ισχυρίστηκαν ότι είχαν κλέψει το

Cyberpunk 2077

, το Witcher 3, το Gwent και τον πηγαίο κώδικα άλλων παιχνιδιών, τον οποίο ισχυρίστηκαν ότι πουλήθηκε.

Το καλοκαίρι του 2021, η ομάδα ransomware άρχισε να χρησιμοποιεί μια παραλλαγή Linux που στοχεύει την πλατφόρμα εικονικής μηχανής VMware ESXi.

Το HelloKitty ransomware ή οι παραλλαγές του έχουν χρησιμοποιηθεί επίσης με άλλα ονόματα, όπως DeathRansom, Fivehands και πιθανώς Abyss Locker.

Το FBI μοιράστηκε μια εκτεταμένη συλλογή δεικτών συμβιβασμού (ΔΟΕ) σε αυτά

2021 συμβουλευτική

για να βοηθήσει τους

επα

γγελματίες της κυβερνοασφάλειας και τους διαχειριστές συστημάτων να προστατεύονται από απόπειρες επίθεσης που συντονίζονται από τη συμμορία ransomware HelloKitty.

Ωστόσο, καθώς ο κρυπτογραφητής έχει αλλάξει με την πάροδο του χρόνου, αυτά τα ΔΟΕ είναι πιθανό να έχουν γίνει ξεπερασμένα.