Το HelloKitty ransomware γίνεται “HelloGookie” – Διαρροή δεδομένων CD Projekt & Cisco

Ένας χειριστής του ransomware HelloKitty ανακοίνωσε ότι άλλαξε το όνομα της κακόβουλης επιχείρησης σε “HelloGookie“, δημοσιεύοντας ταυτόχρονα κωδικούς πρόσβασης για τον CD Projekt source code που είχε διαρρεύσει στο παρελθόν, πληροφορίες δικτύου Cisco, καθώς και κλειδιά αποκρυπτογράφησης για παλιές επιθέσεις.

Ο hacker που ανακοίνωσε το rebranding ονομάζεται “Gookee/kapuchin0” και ισχυρίζεται ότι είναι ο αρχικός δημιουργός του πλέον ανενεργού HelloKitty ransomware. Σύμφωνα με ερευνητή, η αλλαγή ονόματος συμπίπτει με την εμφάνιση ενός νέου dark web portal για το HelloGookie ransomware.

Για να γιορτάσει την έναρξη της νέας επιχείρησης, ο επιτιθέμενος κυκλοφόρησε τέσσερα ιδιωτικά κλειδιά αποκρυπτογράφησης, που μπορούν να χρησιμοποιηθούν για την αποκρυπτογράφηση αρχείων σε παλαιότερες επιθέσεις, καθώς και εσωτερικές πληροφορίες που κλάπηκαν από τη Cisco το 2022 και κωδικούς πρόσβασης για τον πηγαίο κώδικα που διέρρευσε για τα Gwent, Witcher 3 και Red Engine το 2021, μετά από παραβίαση της CD Projekt.

Δείτε επίσης: Ransomware 2024: Μόνο το 28% των θυμάτων πλήρωσε λύτρα

Όπως εντοπίστηκε για πρώτη φορά από το VX-Underground, μια ομάδα προγραμματιστών έχει ήδη αποκτήσει πρόσβαση στο Witcher 3 από τον πηγαίο κώδικα που διέρρευσε.

Ένας εκπρόσωπος της ομάδας αυτής είπε στο BleepingComputer ότι τα δεδομένα της CD Projekt που έχουν διαρρεύσει είναι 450 GB uncompressed data και περιέχουν source code για τα Witcher 3, Gwent, Cyberpunk, διάφορες κονσόλες SDK (PS4/PS5 XBOX NINTENDO) και μερικά build logs.

Σύμφωνα με το BleepingComputer, λόγω της διαρροής είναι δυνατή η εκκίνηση ενός developer build του Witcher 3.

HelloKitty ransomware

Το HelloKitty ήταν μια επιχείρηση ransomware που εμφανίστηκε τον Νοέμβριο του 2020. Πραγματοποίησε πολλές επιθέσεις σε εταιρικά δίκτυα, με σκοπό την κλοπή δεδομένων και την κρυπτογράφηση συστημάτων.

Η πρώτη σημαντική επίθεση σημειώθηκε τον Φεβρουάριο του 2021, με την παραβίαση της CD Projekt Red, τον δημιουργό των τίτλων Cyberpunk 2077, Witcher 3 και Gwent. Η συμμορία κρυπτογράφησε τους διακομιστές της εταιρείας και έκλεψε τον source code. Αργότερα ισχυρίστηκε ότι είχε πουλήσει τα δεδομένα, συμπεριλαμβανομένου του κώδικα για το Witcher 3 που δεν είχε κυκλοφορήσει τότε.

Δείτε επίσης: Η Octapharma Plasma πιθανό θύμα επίθεσης ransomware

Η λειτουργία ransomware σταδιακά εξελίχθηκε, κυκλοφορώντας μάλιστα μια παραλλαγή Linux για τη στόχευση VMware ESXi μηχανημάτων.

Τον Οκτώβριο του 2023, ο hacker Gookee/kapuchin0 διέρρευσε το πρόγραμμα δημιουργίας και τον πηγαίο κώδικα του HelloKitty σε ένα hacking forum, σηματοδοτώντας το τέλος των κακόβουλων εργασιών.

Το HelloKitty ransomware μετονομάστηκε σε HelloGookie

Ο Gookee/kapuchin0 λέει τώρα ότι η επιχείρηση άλλαξε όνομα κα λέγεται HelloGookie. Αν και δεν έχει αναφέρει την ύπαρξη νέων θυμάτων, δημοσίευσε κλεμμένες πληροφορίες από παλαιότερες επιθέσεις στις CD Projekt Red και Cisco (όπως προαναφέραμε). Ο ιστότοπος διαρροής δεδομένων περιλαμβάνει επίσης τέσσερα ιδιωτικά κλειδιά αποκρυπτογράφησης για μια παλαιότερη έκδοση του ransomware encryptor HelloKity, που θα μπορούσε να επιτρέψει σε ορισμένα θύματα να ανακτήσουν τα αρχεία τους δωρεάν.

Μένει να δούμε αν το HelloGookie θα έχει την ίδια επιτυχία με το HelloKitty ransomware.

Προστασία από ransomware

Η προστασία από τις επιθέσεις ransomware απαιτεί προληπτικά μέτρα. Ένα από αυτά είναι η ενημέρωση και εκπαίδευση των χρηστών για την αναγνώριση και αποφυγή ύποπτων email ή συνδέσμων που μπορεί να περιέχουν κακόβουλο λογισμικό.

Επίσης, είναι σημαντικό να διατηρείται ενημερωμένο το λειτουργικό σύστημα και όλα τα εγκατεστημένα προγράμματα, καθώς οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν από νέες μορφές ransomware (π.χ. το νέο HelloGookie).

Δείτε επίσης: Το Akira ransomware έχει παραβιάσει πάνω από 250 οργανισμούς

Απαραίτητη είναι και η δημιουργία αντιγράφων ασφαλείας, για την προστασία των πιο σημαντικών δεδομένων. Η χρήση αξιόπιστου λογισμικού antivirus είναι άλλη μια σημαντική πρακτική για την προστασία από τις επιθέσεις ransomware.

Τέλος, η χρήση εργαλείων περιορισμού των δικαιωμάτων των χρηστών και η εφαρμογή της αρχής του ελάχιστου προνομίου μπορεί να βοηθήσει στην προστασία από τις επιθέσεις ransomware, περιορίζοντας την ικανότητα του κακόβουλου λογισμικού να επεκτείνει την επίδρασή του στο σύστημα.

Πηγή: www.bleepingcomputer.com