El 9 de febrero, después de descubrir un compromiso, CD Projekt Red (CDPR) anunció a sus más de 1 millón de seguidores en Twitter que era víctima de un ataque de ransomware contra sus sistemas (y dejó en claro que no cederían a las demandas de la actores amenazantes, ni negociar).
Cyberpunk 2077, el último juego lanzado por CD Projekt Red y una vez aclamado como el “juego más esperado de la década”, fue lanzado en diciembre de 2020 y muchos lo llamaron un “desastre injugable”.
No es de extrañar entonces que algunas personas sospecharan que los jugadores enfurecidos estaban respondiendo a la compañía por lanzar el juego en ese estado. Pero el infame cazador de ransomware Fabian Wosar ( @fwos ar ), de Emsisoft, no estaba de acuerdo.
Aunque lo que dijo fue una afirmación informada , no podemos decir con certeza qué afectó a CDPR hasta que se recupere y analice una muestra de ransomware. Sin embargo, la verificación del nombre fue suficiente para poner a la familia de ransomware HelloKitty en los titulares.
El ransomware HelloKitty, también conocido como ransomware Kitty, se vio por primera vez en noviembre de 2020, unos meses después de que las primeras variantes de Egregor fueran detectadas en la naturaleza.
CEMIG (Companhia Energética de Minas Gerais), una empresa brasileña de energía eléctrica, reveló en Facebook a fines de diciembre de 2020 que fue víctima de un ciberataque. Los informes posteriores revelaron que HelloKitty era el ransomware detrás de él, y que esta cepa de ransomware se utilizó para robar una gran cantidad de datos sobre la empresa. Sin embargo, el ataque no causó ningún daño, pero hizo que la compañía suspendiera sus canales de WhatsApp y SMS, y su servicio de aplicaciones en línea.
Esta familia de ransomware recibió su nombre de un mutex que utilizó llamado “HelloKittyMutex”.
Algunos investigadores se refieren a HelloKitty como DeathRansom, una familia de ransomware que, basándose en sus variantes anteriores, simplemente cambia el nombre de los archivos de destino y no los cifra. Sin embargo, especulamos que HelloKitty se creó a partir de DeathRansom. Como tal, Malwarebytes detecta este ransomware como Ransom.DeathRansom.
Los actores de amenazas detrás del ransomware HelloKitty no son tan activos como otros grupos de amenazas, por lo que hay poca información al respecto. A continuación se muestra lo que sabemos hasta ahora.
Según Sent inelLabs , la inteligencia actual sugiere que HelloKitty llega a través de correos electrónicos de phishing o mediante una infección secundaria de un ataque de malware inicial.
1. Procesos terminados y servicios de Windows. Una vez que llega a un sistema afectado y se ejecuta, HelloKitty termina los procesos y servicios de Windows que pueden interferir con su funcionamiento. Estos procesos generalmente están asociados con software de seguridad, software de respaldo, software de contabilidad, servidores de correo electrónico y servidores de bases de datos (por nombrar algunos). En general, puede apuntar y terminar más de 1400 procesos y servicios.
Realiza el proceso de terminación utilizando taskkill.exe y net.exe , dos programas legítimos de Microsoft Windows.
SentinelLabs también señala que si hay procesos que HelloKitty no puede terminar usando estos ejecutables, luego se conecta al Administrador de reinicio de Windows para realizar la terminación.
2. Archivos cifrados con. KITTYo . CRYPTEDextensiones de archivo. En los sistemas Windows, el ransomware HelloKitty utiliza una combinación de cifrado AES-128 + NTRU. En sistemas Linux, utiliza la combinación AES-256 + ECDH. No se sabe que estas recetas de cifrado tengan debilidades, lo que hace que el descifrado sea imposible sin una clave.
Los archivos cifrados tendrán la extensión de archivo .kittyo .cryptedadjunta a los nombres de archivo. Por ejemplo, un sample.mdbarchivo cifrado tendrá los nombres de archivo sample.mdb.kittyo sample.mdb.crypted.
3. Nota de rescate dirigida. La nota de rescate de HelloKitty suele ser un archivo de texto sin formato que lleva el nombre read_me_lkdtt.txto hace read_me_unlock.txtreferencia a su objetivo y / o su entorno. Para ver un ejemplo del contenido de la nota, a continuación se muestra una parte de la nota de rescate de CEMIG de la siguiente manera:
¡Hola CEMIG!
¡Todos sus servidores de archivos, infraestructura HyperV y copias de seguridad han sido encriptados!
¡Intentar descifrar o modificar los archivos con programas que no sean nuestro descifrador puede provocar una pérdida permanente de datos!
La única forma de recuperar sus archivos es cooperando con nosotros.
Para demostrar nuestra seriedad, podemos descifrar 1 archivo no crítico de forma gratuita como prueba. Tenemos más de 10 TB de datos de sus archivos privados, bases de datos, datos personales… etc, tiene 24 horas para contactarnos, de otra manera publicamos esta información en canales públicos, y este sitio no estará disponible.
La nota de rescate también incluye una .onionURL que las víctimas pueden abrir usando el navegador Tor. Las URL son diferentes para cada víctima.
4. Instantáneas eliminadas. Al igual que otras familias de ransomware conocidas como Ph obos y Sodinokibi , HelloKitty elimina las instantáneas de los archivos cifrados en los sistemas afectados para evitar que las víctimas los restauren.
