HelloKitty Ransomware se Renombra: Impacto en CD Projekt y Cisco
Adan Cuevas 04/22/2024 Ciberseguridad, Riesgos informaticos
3 Minutos

El ransomware, una forma devastadora de malware, continúa evolucionando y presentando nuevos desafíos para las organizaciones de todo el mundo. Recientemente, el conocido HelloKitty ransomware ha cambiado de nombre y ha llevado a cabo ataques de alto perfil contra gigantes de la industria como CD Projekt y Cisco. Este cambio de identidad no es solo una táctica para evadir la detección por parte de las autoridades, sino que también marca una escalada en las actividades de estos ciberdelincuentes.

 

Cambio de Nombre de HelloKitty

 

Un operador del ransomware conocido como HelloKitty reveló que ha renombrado el malware a "HelloGookie", liberando contraseñas del código fuente previamente filtrado de CD Projekt, así como información sensible de la red de Cisco y claves de descifrado de ataques pasados.

El responsable de este anuncio, que se identifica como 'Gookee/kapuchin0', afirma ser el desarrollador original del ya extinto ransomware HelloKitty. Según informó el investigador de amenazas 3xp0rt el pasado jueves, el cambio de nombre coincide con la creación de un nuevo portal en la dark web para HelloGookie.

Para marcar este lanzamiento, el actor de amenazas divulgó cuatro claves de descifrado privadas útiles para desbloquear archivos de ataques anteriores, además de revelar información interna de Cisco obtenida en un ataque de 2022 y contraseñas del código fuente robado de los juegos Gwent, Witcher 3 y Red Engine de CD Projekt en 2021.

VX-Underground, una comunidad de desarrolladores, también ha reportado que ya han compilado el juego Witcher 3 usando el código fuente filtrado, y han compartido capturas de pantalla y videos de las versiones de desarrollo. 

Un representante del grupo que está compilando Witcher 3, conocido como 'sventek', reveló que los datos filtrados de CD Projekt ascienden a 450 GB sin comprimir e incluyen código fuente para Witcher 3, Gwent, Cyberpunk, varios SDK de consola (PS4/PS5, Xbox, Nintendo) y algunos registros de construcción.

Se informó que el código fuente filtrado contiene archivos binarios que permiten el lanzamiento de una versión para desarrolladores de Witcher 3. Los desarrolladores están ahora trabajando en compilar el juego desde la fuente, y han compartido un video y capturas de pantalla de una versión inicial.

Sventek también mencionó que anteriormente lograron compilar Cyberpunk 2077 a partir de la filtración de CD Projekt y que estaban detrás de la filtración anterior del código fuente de GTA V.
 
 
Captura de pantalla de la supuesta compilación de Witcher 3 compilada a partir del código fuente filtrado
 
Captura de pantalla de la versión compilada de Witcher 3 a partir del código fuente filtrado
 
 
 
 

¿Qué es HelloKitty?

 

HelloKitty fue un operativo de ransomware que comenzó en noviembre de 2020 y se especializó en atacar redes corporativas, sustraer datos y cifrar sistemas.

Su primer ataque significativo tuvo lugar en febrero de 2021, dirigido a CD Projekt Red, los creadores de Cyberpunk 2077, Witcher 3 y Gwent. Durante este incidente, el grupo de ransomware cifró los servidores de la compañía y extrajo código fuente como parte de su operación.

Posteriormente, HelloKitty anunció que había vendido esos datos, incluido el código del entonces inédito Witcher 3, en la dark web.

La operación de ransomware continuó expandiéndose y a mediados de 2021 introdujo una variante orientada a Linux enfocada en atacar VMware ESXi, lo que amplió las posibilidades de lucro para sus afiliados.

En 2022, el portal de filtraciones de datos de otra operación de ransomware, Yanluowang, fue presuntamente hackeado para revelar conversaciones entre sus miembros. Estas revelaciones mostraron una estrecha asociación con el desarrollador de HelloKitty, conocido en las conversaciones como Guki.

En octubre de 2023, Gookee/kapuchin0 divulgó el constructor de HelloKitty y su código fuente en un foro de hackers, señalando el cese de sus operaciones.

 

Conoce más sobre:  Ransomware HelloKitty: Impacto en el Mundo de los Videojuegos

 

Regreso bajo el nombre de HelloGookie

 

El actor de amenazas ha declarado que ha renombrado la operación de ransomware a HelloGookie, aunque no ha identificado nuevas víctimas ni hay evidencia de ataques recientes.

A pesar de esto, el actor ha divulgado información sustraída en ataques previos a CD Projekt Red y Cisco. El sitio de filtraciones también muestra cuatro claves de descifrado privadas para una versión anterior del cifrado de ransomware HelloKitty, que podrían permitir a algunas víctimas recuperar sus archivos sin coste alguno.

Investigadores están analizando actualmente las claves para determinar con qué versiones del cifrado son compatibles. La información de Cisco en el sitio de filtraciones incluye una lista de hashes NTLM (contraseñas de cuentas cifradas) supuestamente obtenidos durante un incidente de seguridad.

Cisco ya había reconocido en 2022 que fue víctima de un ataque por parte del grupo de ransomware Yanluowang, un evento que según se reportó se limitó al robo de datos no confidenciales de una cuenta comprometida.

El acceso de Kapuchin0 a estos datos y su reconocimiento a Yanluowang indican una colaboración más estrecha entre los dos grupos de lo que inicialmente se creía.

"Cisco está al tanto de la información publicada recientemente que se refiere a un incidente de seguridad en mayo de 2022. Pueden encontrar un resumen detallado del incidente en la publicación de blog de agosto de 2022 de Cisco Talos, nuestra organización de investigación de inteligencia de amenazas", afirmó Cisco recientemente en relación con la filtración de datos. Solo resta ver si HelloGookie logrará alcanzar el mismo nivel de éxito operativo, volumen de ataques y notoriedad que tuvo HelloKitty.

 

Nuevo sitio HelloGookie

Nuevo sitio HelloGookie

 

Te podrá interesar leer:  Hackeo a Coppel: ¿Se Eliminaron Deudas de Usuarios?

 

Conclusión

 

El ransomware HelloKitty y su reciente rebranding es un recordatorio crucial de que el ciberdelito está en constante evolución y de que las amenazas nunca permanecen estáticas. Los recientes ataques a grandes empresas como CD Projekt y Cisco demuestran que nadie está completamente a salvo de estas amenazas. Las organizaciones deben estar siempre alerta y preparadas para defenderse de estos ataques cada vez más sofisticados. Implementar las medidas de protección recomendadas y mantenerse informado sobre las últimas tácticas y técnicas de los ciberdelincuentes son pasos esenciales para proteger los activos y la información crítica en este entorno digital altamente peligroso.

 

Suscribirse al SoC as a Service

Tag:

Ciberseguridad Riesgos informaticos

Nuevo Ransomware SEXi: Una Amenaza Creciente en América Latina

Artículo Anterior

Alerta: Nuevo Malware Brokewell se Apodera de Dispositivos Androids

Siguiente Artículo

    Categorías

    Artículos más leídos

    Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
    Descubriendo los canales en Telegram de la Dark Web
    Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
    Guía para Activar y Usar Copilot en Word Eficazmente
    Alexander Chapellin 02/17/2024 Ciberseguridad, Riesgos informaticos
    Alternativa Económica a Flipper Zero para Hacking: M1
    Alexander Chapellin 06/15/2023 Licencias de Uso de Software
    Licencias de Uso de Software: Todo lo que Necesitas Saber

    Artículos Relacionados

    Ciberseguridad, Riesgos informaticos
    Gustavo Sánchez 11/19/2024

    Infostealers en México: Una Amenaza Crítica para Gobiernos y Empresas

    En los últimos meses, México se ha convertido en el blanco perfecto para un tipo de ciberataque que

    Leer más
    Ciberseguridad, Riesgos informaticos
    Adriana Aguilar 11/19/2024

    Phishing por Correo Ahora usa Archivos SVG para Evadir Detección

    ¿Alguna vez te has preguntado cómo los correos de phishing logran burlar los avanzados sistemas de

    Leer más
    Ciberseguridad, Riesgos informaticos
    Alexander Chapellin 11/19/2024

    HellDown Ransomware: Nueva Variante Amplía Ataques a VMware y Linux

    Expertos en ciberseguridad han descubierto una nueva variante de ransomware diseñada

    Leer más
    Bottom Banner

    Reduce los costos de TI y eleva la productividad de tu empresa con TecnetOne

    Si te interesa implementar soluciones en la nube en tu empresa, te invitamos a que nos contactes.

    Quiero saber más