El código fuente del ransomware HelloKitty es filtrado en un foro de piratería

Iniciado por AXCESS, Octubre 10, 2023, 11:26:57 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 10, 2023, 11:26:57 PM Ultima modificación: Octubre 10, 2023, 11:28:47 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas filtró el código fuente completo de la primera versión del ransomware HelloKitty en un foro de piratería de habla rusa, afirmando estar desarrollando un cifrado nuevo y más potente.

La filtración fue descubierta por primera vez por el investigador de ciberseguridad 3xp0rt, quien detectó que un actor de amenazas llamado 'kapuchin0' liberaba la "primera rama" del cifrador de ransomware HelloKitty.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si bien el código fuente fue publicado por alguien llamado 'kapuchin0', 3xp0rt declaró que el actor de amenazas también utiliza el alias 'Gookee'.

Un actor de amenazas llamado Gookee ha sido asociado anteriormente con malware y actividad de piratería, intentando vender acceso a Sony Network Japan en 2020, vinculado a una operación de ransomware como servicio llamada 'Gookee Ransomware' e intentando vender código fuente de malware. en un foro de hackers.

3xp0rt cree que kapuchin0/Gookee es el desarrollador del ransomware HelloKitty, quien ahora dice: "Estamos preparando un producto nuevo y mucho más interesante que Lockbit".

Código Fuente de HelloKitty
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El experto en ransomware Michael Gillespie confirmó que este es el código fuente legítimo de HelloKitty utilizado cuando la operación de ransomware se lanzó por primera vez en 2020.

El archivo No tienes permitido ver los links. Registrarse o Entrar a mi cuenta publicado contiene una solución de Microsoft Visual Studio que crea el cifrador y descifrador HelloKitty y la biblioteca NTRUEncrypt que esta versión del ransomware utiliza para cifrar archivos.

Parte del código de cifrado de HelloKitty
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si bien la publicación del código fuente del ransomware puede resultar útil para la investigación de seguridad, la disponibilidad pública de este código tiene sus inconvenientes.

Como vimos cuando se lanzó HiddenTear (por "razones educativas") y se lanzó el código fuente del ransomware Babuk, los actores de amenazas utilizaron rápidamente el código para lanzar sus propias operaciones de extorsión.

Hasta el día de hoy, más de nueve operaciones de ransomware continúan utilizando el código fuente de Babuk como base para sus propios cifrados.

¿Quién es HelloKitty?

HelloKity es una operación de ransomware operada y activa desde noviembre de 2020, cuando una víctima publicó en los foros, y el FBI publicó posteriormente un PIN (notificación de la industria privada) en el grupo en enero de 2021.

La pandilla es conocida por piratear redes corporativas, robar datos y cifrar sistemas. Los archivos cifrados y los datos robados se utilizan luego como palanca en máquinas de doble extorsión, donde los actores amenazan con filtrar datos si no se paga el rescate.

HelloKitty es conocida por numerosos ataques y es utilizada por otras operaciones de ransomware, pero su ataque más publicitado fue el de CD Projekt Red en febrero de 2021.

Durante este ataque, los actores de amenazas afirmaron haber robado el código fuente de Cyberpunk 2077, Witcher 3, Gwent y otros juegos, que, según afirmaron, fue vendido.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En el verano de 2021, el grupo de ransomware comenzó a utilizar una variante de Linux dirigida a la plataforma de máquina virtual VMware ESXi.

El ransomware HelloKitty o sus variantes también se han utilizado con otros nombres, incluidos DeathRansom, Fivehands y posiblemente Abyss Locker.

El FBI compartió una extensa colección de indicadores de compromiso (IOC) en su aviso de 2021 para ayudar a los profesionales de la ciberseguridad y a los administradores de sistemas a protegerse contra intentos de ataque coordinados por la banda de ransomware HelloKitty.

Sin embargo, a medida que el cifrado ha cambiado con el tiempo, es probable que estos IOC hayan quedado obsoletos.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario