HelloKitty agora é HelloGookie
3 de Junho de 2024

Um operador do ransomware HelloKitty anunciou que mudou o nome para HelloGookie e liberou senhas para o código-fonte do CD Projekt vazado anteriormente, além de informações de rede da Cisco e chaves de descriptografia de ataques antigos.

O hacker conhecido como Gookee/kapuchin0, que alega ser o criador do HelloKitty, fez o anúncio.

De acordo com o pesquisador de ameaças 3xport, essa mudança de nome acontece paralelamente ao lançamento de um novo portal na dark web dedicado ao HelloGookie.

Para marcar a ocasião, o operador da ameaça divulgou quatro chaves privadas de descriptografia, que podem ser aplicadas na descriptografia de arquivos de ataques precedentes.

Além disso, foram divulgadas informações internas subtraídas da Cisco em um ataque de 2022 e senhas para acesso ao código-fonte vazado dos jogos Gwent, Witcher 3 e da Red Engine, elementos roubados da CD Projekt em 2021.

Conforme informa o coletivo de análise de malware vx-underground, um grupo de desenvolvedores conseguiu compilar o Witcher 3 a partir do código-fonte vazado, divulgando capturas de tela e vídeos das compilações em desenvolvimento.

No que diz respeito à Cisco, a entrada no site de vazamento revelou uma lista de hashes NTLM (NT LAN Manager) — que são as senhas das contas, criptografadas — supostamente obtidas durante um incidente de segurança.

Em 2022, a Cisco confirmou ter sido alvo de um ataque do grupo de ransomware Yanluowang, uma ocorrência que teria se limitado ao furto de dados não sensíveis de uma única conta vulnerável.

No entanto, o acesso de Kapuchin0 a esses dados e uma mensagem direcionada ao Yanluowang sugerem uma cooperação mais íntima entre os grupos do que era conhecido anteriormente.

Outra novidade no setor é a versão Linux de um novo ransomware que tem como alvos servidores VMware ESXi, juntamente com a descoberta de quatro novos grupos de ransomware bastante prejudiciais.

Lançado em novembro de 2020, o HelloKitty se destacou no cenário de ransomware ao atingir redes corporativas, extrair dados sensíveis e criptografar sistemas.

Seu primeiro ataque de grande visibilidade ocorreu em fevereiro de 2021, direcionado ao CD Projekt Red, a empresa por trás dos renomados jogos Cyberpunk 2077, Witcher 3 e Gwent.

Naquela ocasião, a gangue de ransomware não apenas criptografou servidores da companhia mas também exfiltrou código-fonte, intensificando o impacto do ataque.

Com o passar do tempo, essa operação de ransomware expandiu, inclusive com o lançamento de uma variante voltada para Linux em meados de 2021, especificamente visando servidores VMware ESXi.

Esse desenvolvimento abriu novas frentes de monetização para os seus afiliados.

Atualmente, o operador da ameaça declara ter renomeado a operação de ransomware para HelloGookie, embora não tenha divulgado novos alvos nem apresentado provas de atividades recentes.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...