Хакер опубликовал полный исходный код первой версии шифровальщика HelloKitty, заявив, что разрабатывает новый, более мощный шифровальщик.
Утечку впервые обнаружил исследователь кибербезопасности 3xp0rt, который заметил, что угроза актера с именем ‘kapuchin0’ выпустила “первую ветку” шифровальщика HelloKitty.
Исходный код был опубликован кем-то под именем “kapuchin0”, но 3xp0rt рассказал BleepingComputer, что злоумышленник также использует псевдоним “Gookee”.
Gookee ранее был связан с вредоносными программами и хакерской деятельностью, пытаясь продать доступ к Sony Network Japan в 2020 году, связанный с операцией Ransomware-as-a-Service под названием “Gookee Ransomware” и пытаясь продать исходный код вредоносных программ на хакерском форуме.
3xp0rt считает, что kapuchin0/Gookee является разработчиком вымогательской программы HelloKitty, который теперь говорит: “Мы готовим новый продукт и гораздо интереснее, чем Lockbit”. Выпущенный архив hellokitty.zip содержит решение Microsoft Visual Studio, которое создает шифровальщик и дешифровальщик HelloKitty, а также библиотеку NTRUEncrypt, которую эта версия вымогательской программы использует для шифрования файлов.
Эксперт по вымогателям Майкл Гиллеспи подтвердил BleepingComputer, что это действительно исходный код HelloKitty, который использовался при первом запуске операции по вымогательству в 2020 году.
Публикация исходного кода вымогательского ПО может быть полезной для исследования в области безопасности, но она имеет свои недостатки.
Как мы видели, когда был опубликован исходный код HiddenTear (ради "образовательных целей"), и когда был выпущен исходный код вымогательского ПО Babuk, злоумышленники быстро начали использовать этот код для запуска своих собственных операций по вымогательству.
И по сей день более девяти компаний по вымогательству используют исходный код Babuk как основу для своих собственных шифровальщиков.
Описание HelloKitty.
HelloKitty - это группировка, занимающаяся расследованием и вымогательскими операциями с использованием шифровальщиков, и она активна с ноября 2020 года, когда одна из жертв опубликовала сообщение на форумах BleepingComputer. В январе 2021 года ФБР опубликовало уведомление для частной индустрии о деятельности этой группы.Эта банда известна своими атаками на корпоративные сети, кражей данных и шифрованием систем. Зашифрованные файлы и украденные данные используются как рычаг давления в машинах с двойным вымогательством, где угрожают утечкой данных, если не выплачивается выкуп.
HelloKitty известна множеством атак и используется другими группами, но их самой публично известной атакой была атака на CD Projekt Red в феврале 2021 года.
Во время этой атаки угрозы утверждали, что они украли исходный код игр Cyberpunk 2077, Witcher 3, Gwent и других игр, и что они предположительно были проданы.
Летом 2021 года группа вымогателей начала использовать вариант Linux, направленный на виртуальную платформу VMware ESXi.
Ransomware HelloKitty или его вариации также использовались под другими именами, включая DeathRansom, Fivehands и, возможно, Abyss Locker.
ФБР опубликовало обширный набор индикаторов компрометации (IOCs) в своем предупреждении 2021 года, чтобы помочь профессионалам в области кибербезопасности и администраторам систем защищаться от попыток атак, координируемых группировкой HelloKitty.
Однако по мере изменения шифровальщика со временем эти IOCs, вероятно, устарели.