Un actor de amenazas filtró el código fuente completo de la primera versión del ransomware HelloKitty en un foro de piratería de habla rusa, afirmando estar desarrollando un cifrador nuevo y más potente.
La filtración fue descubierta por primera vez por el investigador de ciberseguridad 3xp0rt, quien detectó que un actor de amenazas llamado ‘kapuchin0’ liberaba la “primera rama” del cifrador de ransomware HelloKitty.Si bien el código fuente fue publicado por alguien llamado ‘kapuchin0’, 3xp0rt le dijo a BleepingComputer que el actor de amenazas también utiliza el alias ‘Gookee’.Un actor de amenazas llamado Gookee ha sido asociado anteriormente con malware y actividad de piratería, intentando vender acceso a Sony Network Japan en 2020, vinculado a una operación de ransomware como servicio llamada ‘Gookee Ransomware’ e intentando vender código fuente de malware. en un foro de hackers.
3xp0rt cree que kapuchin0/Gookee es el desarrollador del ransomware HelloKitty, quien ahora dice: “Estamos preparando un producto nuevo y mucho más interesante que Lockbit”.
El archivo hellokitty.zip publicado contiene una solución de Microsoft Visual Studio que crea el cifrador y descifrador HelloKitty y la biblioteca NTRUEncrypt que esta versión del ransomware utiliza para cifrar archivos.
El experto en ransomware Michael Gillespie confirmó que este es el código fuente legítimo de HelloKitty utilizado cuando la operación de ransomware se lanzó por primera vez en 2020.
Si bien la publicación del código fuente del ransomware puede resultar útil para la investigación de seguridad, la disponibilidad pública de este código tiene sus inconvenientes.
Como vimos cuando se lanzó HiddenTear (por “razones educativas”) y se lanzó el código fuente del ransomware Babuk, los actores de amenazas utilizaron rápidamente el código para lanzar sus propias operaciones de extorsión.
Hasta el día de hoy, más de nueve operaciones de ransomware continúan utilizando el código fuente de Babuk como base para sus propios cifrados.
HelloKity es una operación de ransomware operada por humanos activa desde noviembre de 2020, cuando una víctima publicó en los foros de BleepingComputer, y el FBI publicó posteriormente un PIN (notificación de la industria privada) en el grupo en enero de 2021.
La pandilla es conocida por piratear redes corporativas, robar datos y cifrar sistemas. Los archivos cifrados y los datos robados se utilizan luego como palanca en máquinas de doble extorsión, donde los actores amenazan con filtrar datos si no se paga el rescate.
HelloKitty es conocido por numerosos ataques y es utilizado por otras operaciones de ransomware, pero su ataque más publicitado fue el de CD Projekt Red en febrero de 2021.
Info – Ciberseguridad Latam