Um operador do ransomware HelloKitty anunciou que mudou o nome para HelloGookie e liberou senhas para o código-fonte do CD Projekt vazado anteriormente, informações de rede Cisco e chaves de descriptografia de ataques antigos. O hacker que fez o anúncio atende pelo nome de Gookee/kapuchin0 e afirma ser o criador do HelloKitty.
Segundo o pesquisador de ameaças 3xport, a mudança de nome coincide com o lançamento de um novo portal na dark web para o HelloGookie. Para comemorar o lançamento, o operador da ameaça lançou quatro chaves privadas de descriptografia que podem ser usadas para descriptografar arquivos em ataques mais antigos, bem como informações internas roubadas da Cisco em um ataque de 2022 e senhas para o código-fonte vazado do Gwent, Witcher 3 e Red Engine, roubados da CD Projekt em 2021. Conforme coletivo de repositório de malware vx-underground, um grupo de desenvolvedores já compilou Witcher 3 a partir do código-fonte vazado, compartilhando capturas de tela e vídeos de compilações de desenvolvimento.
A entrada da Cisco no site de vazamento de dados contém uma lista de hashes NTLM (NT LAN Manager) — senhas de contas criptografadas — supostamente extraídas durante uma violação de segurança. Em 2022, a Cisco admitiu que havia sido hackeada pelo grupo de ransomware Yanluowang, um incidente supostamente limitado ao roubo de dados não confidenciais de uma única conta comprometida. O acesso do Kapuchin0 a esses dados e uma mensagem para Yanluowang mostram uma colaboração mais estreita entre os dois grupos do que se sabia originalmente.
Veja isso
Versão Linux de novo ransomware mira servidores VMware ESXi
Descobertos quatro grupos de ransomware altamente danosos
O que é o HelloKitty
O HelloKitty foi uma operação de ransomware lançada em novembro de 2020, famosa por atacar redes corporativas, roubar dados e criptografar sistemas. Seu primeiro ataque de alto perfil ocorreu em fevereiro de 2021, quando violaram o CD Projekt Red, criador dos títulos Cyberpunk 2077, Witcher 3 e Gwent. A gangue de ransomware criptografou os servidores da empresa e roubou o código-fonte como parte do ataque.
A operação de ransomware cresceu gradualmente, lançando uma variante focada em Linux em meados de 2021 que tinha como alvo o VMware ESXi, criando oportunidades adicionais de obtenção de lucro para seus afiliados.
O operador da ameaça agora afirma que rebatizou a operação de ransomware como HelloGookie, mas não revelou nenhuma nova vítima e não tem evidências de ataques recentes.
