Un representante del grupo que está compilando Witcher 3, conocido como 'sventek', reveló que los datos filtrados de CD Projekt ascienden a 450 GB sin comprimir e incluyen código fuente para Witcher 3, Gwent, Cyberpunk, varios SDK de consola (PS4/PS5, Xbox, Nintendo) y algunos registros de construcción.
Se informó que el código fuente filtrado contiene archivos binarios que permiten el lanzamiento de una versión para desarrolladores de Witcher 3. Los desarrolladores están ahora trabajando en compilar el juego desde la fuente, y han compartido un video y capturas de pantalla de una versión inicial.
Sventek también mencionó que anteriormente lograron compilar Cyberpunk 2077 a partir de la filtración de CD Projekt y que estaban detrás de la filtración anterior del código fuente de GTA V.
¿Qué es HelloKitty?
HelloKitty fue un operativo de ransomware que comenzó en noviembre de 2020 y se especializó en atacar redes corporativas, sustraer datos y cifrar sistemas.
Su primer ataque significativo tuvo lugar en febrero de 2021, dirigido a CD Projekt Red, los creadores de Cyberpunk 2077, Witcher 3 y Gwent. Durante este incidente, el grupo de ransomware cifró los servidores de la compañía y extrajo código fuente como parte de su operación.
Posteriormente, HelloKitty anunció que había vendido esos datos, incluido el código del entonces inédito Witcher 3, en la dark web.
La operación de ransomware continuó expandiéndose y a mediados de 2021 introdujo una variante orientada a Linux enfocada en atacar VMware ESXi, lo que amplió las posibilidades de lucro para sus afiliados.
En 2022, el portal de filtraciones de datos de otra operación de ransomware, Yanluowang, fue presuntamente hackeado para revelar conversaciones entre sus miembros. Estas revelaciones mostraron una estrecha asociación con el desarrollador de HelloKitty, conocido en las conversaciones como Guki.
En octubre de 2023, Gookee/kapuchin0 divulgó el constructor de HelloKitty y su código fuente en un foro de hackers, señalando el cese de sus operaciones.
Conoce más sobre: Ransomware HelloKitty: Impacto en el Mundo de los Videojuegos
Regreso bajo el nombre de HelloGookie
El actor de amenazas ha declarado que ha renombrado la operación de ransomware a HelloGookie, aunque no ha identificado nuevas víctimas ni hay evidencia de ataques recientes.
A pesar de esto, el actor ha divulgado información sustraída en ataques previos a CD Projekt Red y Cisco. El sitio de filtraciones también muestra cuatro claves de descifrado privadas para una versión anterior del cifrado de ransomware HelloKitty, que podrían permitir a algunas víctimas recuperar sus archivos sin coste alguno.
Investigadores están analizando actualmente las claves para determinar con qué versiones del cifrado son compatibles. La información de Cisco en el sitio de filtraciones incluye una lista de hashes NTLM (contraseñas de cuentas cifradas) supuestamente obtenidos durante un incidente de seguridad.
Cisco ya había reconocido en 2022 que fue víctima de un ataque por parte del grupo de ransomware Yanluowang, un evento que según se reportó se limitó al robo de datos no confidenciales de una cuenta comprometida.
El acceso de Kapuchin0 a estos datos y su reconocimiento a Yanluowang indican una colaboración más estrecha entre los dos grupos de lo que inicialmente se creía.
"Cisco está al tanto de la información publicada recientemente que se refiere a un incidente de seguridad en mayo de 2022. Pueden encontrar un resumen detallado del incidente en la publicación de blog de agosto de 2022 de Cisco Talos, nuestra organización de investigación de inteligencia de amenazas", afirmó Cisco recientemente en relación con la filtración de datos. Solo resta ver si HelloGookie logrará alcanzar el mismo nivel de éxito operativo, volumen de ataques y notoriedad que tuvo HelloKitty.
Nuevo sitio HelloGookie
Te podrá interesar leer: Hackeo a Coppel: ¿Se Eliminaron Deudas de Usuarios?
Conclusión
El ransomware HelloKitty y su reciente rebranding es un recordatorio crucial de que el ciberdelito está en constante evolución y de que las amenazas nunca permanecen estáticas. Los recientes ataques a grandes empresas como CD Projekt y Cisco demuestran que nadie está completamente a salvo de estas amenazas. Las organizaciones deben estar siempre alerta y preparadas para defenderse de estos ataques cada vez más sofisticados. Implementar las medidas de protección recomendadas y mantenerse informado sobre las últimas tácticas y técnicas de los ciberdelincuentes son pasos esenciales para proteger los activos y la información crítica en este entorno digital altamente peligroso.