Ένας απειλητικός φορέας διέρρευσε τον πλήρη πηγαίο κώδικα (source code) του ransomware HelloKitty σε ένα ρωσόφωνο φόρουμ hacking.
Η διαρροή αυτή ανακαλύφθηκε από τον ερευνητή κυβερνοασφάλειας 3xp0rt, ο οποίος εντόπισε έναν απειλητικό φορέα με το όνομα «kapuchin0» να διαρρέει το “first branch” της κρυπτογράφησης ransomware HelloKitty.
Δείτε ακόμα: McLaren Health Care – Blackcat ransomware: Διαρροή δεδομένων ασθενών στο dark web;
Ενώ ο πηγαίος κώδικας κυκλοφόρησε από κάποιον με το όνομα ‘kapuchin0’, ο 3xp0rt είπε, ότι ο απειλητικός φορέας χρησιμοποιεί επίσης το ψευδώνυμο ‘Gookee’.
Ο ίδιος (ο ‘Gookee’) έχει συνδεθεί στο παρελθόν με κακόβουλο λογισμικό. Το 2020, προσπάθησε να αποκτήσει πρόσβαση στο Sony Network Japan και συνδέθηκε με μια λειτουργία Ransomware-as-a-Service που ονομάζεται “Gookee Ransomware”. Επιπλέον, προσπάθησε να πουλήσει τον πηγαίο κώδικα του κακόβουλου λογισμικού μέσω ενός φόρουμ χάκερ.
Ο 3xp0rt πιστεύει ότι ο kapuchin0/Gookee είναι ο προγραμματιστής του HelloKitty ransomware, ο οποίος τώρα λέει, “Ετοιμάζουμε ένα νέο προϊόν και πολύ πιο ενδιαφέρον από το Lockbit.”
Το αρχείο hellokitty.zip που κυκλοφόρησε, περιέχει μια λύση του Microsoft Visual Studio που επιτρέπει την κρυπτογράφηση και αποκρυπτογράφηση του HelloKitty, καθώς και την αντίστοιχη βιβλιοθήκη NTRUEncrypt που χρησιμοποιεί αυτή η έκδοση του ransomware για την κρυπτογράφηση αρχείων.
Ο ειδικός στο ransomware, Michael Gillespie, επιβεβαίωσε, ότι αυτός είναι ο γνήσιος πηγαίος κώδικας για το HelloKitty, που χρησιμοποιήθηκε κατά την έναρξη της λειτουργίας του ransomware το 2020.
Ενώ η κυκλοφορία του πηγαίου κώδικα ransomware μπορεί να είναι χρήσιμη για το ερευνητικό κομμάτι της ασφάλειας, η δημόσια διαθεσιμότητα αυτού του κώδικα έχει τα μειονεκτήματά της.
Όταν κυκλοφόρησε το HiddenTear (για “εκπαιδευτικούς λόγους”) και ο πηγαίος κώδικας του ransomware Babuk, οι κακόβουλοι χρήστες ανέπτυξαν γρήγορα τον κώδικα για να ξεκινήσουν τις δικές τους επιχειρήσεις εκβιασμού.
Δείτε ακόμα: Οι ομάδες hacking πλέον εφαρμόζουν το ransomware εντός 24 ωρών από την παραβίαση των θυμάτων
Μέχρι σήμερα, περισσότερες από εννέα παραλλαγές ransomware συνεχίζουν να χρησιμοποιούν τον αρχικό κώδικα Babuk ως βάση για να δημιουργήσουν τους δικούς τους κρυπτογραφητές.
Τι είναι το HelloKitty;
Το HelloKity είναι μια επιχείρηση ransomware που λειτουργεί από τον άνθρωπο και είναι ενεργή από τον Νοέμβριο του 2020. Ένα θύμα δημοσίευσε στα φόρουμς του BleepingComputer, με το FBI να δημοσιεύει αργότερα τον Ιανουάριο του 2021 ένα (PIN).
Η συμμορία είναι γνωστή για την παραβίαση εταιρικών δικτύων, την κλοπή δεδομένων και την κρυπτογράφηση συστημάτων. Στη συνέχεια, τα κρυπτογραφημένα αρχεία και τα κλεμμένα δεδομένα χρησιμοποιούνται ως μέσο εκβιασμού, όπου οι δράστες απειλούν να διαρρεύσουν δεδομένα εάν δεν καταβληθούν λύτρα.
Το HelloKitty είναι γνωστό για πολλές επιθέσεις και χρησιμοποιείται από άλλες επιχειρήσεις ransomware. Ωστόσο, η πιο περίφημη επίθεση συνέβη τον Φεβρουάριο του 2021, στην εταιρεία CD Projekt Red.
Κατά τη διάρκεια αυτής της επίθεσης, οι δράστες ισχυρίστηκαν ότι είχαν κλέψει το Cyberpunk 2077, το Witcher 3, το Gwent και τον πηγαίο κώδικα άλλων παιχνιδιών, τα οποία είπαν ότι πουλήθηκαν.
Το καλοκαίρι του 2021, η ομάδα ransomware ξεκίνησε να χρησιμοποιεί μια παραλλαγή Linux που επιτίθεται στην πλατφόρμα εικονικής μηχανής VMware ESXi.
Το HelloKitty ransomware και οι παραλλαγές του έχουν επίσης χρησιμοποιηθεί με άλλα ονόματα, όπως DeathRansom, Fivehands, και πιθανώς Abyss Locker.
Δείτε ακόμη: Αυξημένος ο αριθμός των θυμάτων που αναφέρονται σε “sites διαρροής” ransomware συμμοριών
Το FBI δημοσίευσε μια εκτενή συλλογή δεικτών παραβίασης (IOC) στις συστάσεις του για το 2021, με σκοπό να βοηθήσει τους ειδικούς κυβερνοασφάλειας και τους διαχειριστές συστημάτων να προστατευτούν από επιθέσεις που συντονίζονται από τη συμμορία ransomware HelloKitty.
Καθώς όμως ο κρυπτογραφητής έχει αλλάξει με την πάροδο του χρόνου, τα IOC είναι πιθανό να έχουν ξεπεραστεί.
Πηγή: bleepingcomputer.com
 του ransomware HelloKitty σε ένα ρωσόφωνο φόρουμ hacking){kind=link}