Un opérateur de l’opération de ransomware HelloKitty a annoncé qu’il avait changé le nom en « HelloGookie », libérant des mots de passe pour le code source CD Projekt précédemment divulgué, les informations réseau Cisco et les clés de déchiffrement d’anciennes attaques.
L’acteur de la menace qui a fait l’annonce s’appelle « Gookee / kapuchin0 » et prétend être le créateur original du ransomware HelloKitty, aujourd’hui disparu.
Comme l’a signalé pour la première fois le chercheur en menaces 3xp0rtblog jeudi, le changement de marque coïncide avec le lancement d’un nouveau portail Web sombre pour HelloGookie.
Pour célébrer le lancement, l’auteur de la menace a publié quatre clés de déchiffrement privées qui peuvent être utilisées pour déchiffrer des fichiers dans des attaques plus anciennes, ainsi que des informations internes volées à Cisco lors d’une attaque en 2022 et des mots de passe pour le code source divulgué pour Gwent, Witcher 3 et Red Engine volé à CD Projekt en 2021.
Comme repéré pour la première fois par VX-Underground, un groupe de développeurs a déjà compilé Witcher 3 à partir du code source divulgué, partageant des captures d’écran et des vidéos de versions de développement.
Un représentant du groupe compilant Witcher 3 connu sous le nom de « sventek » a déclaré à Breachtrace que les données de CD Projekt divulguées sont de 450 Go non compressées et contiennent le code source de Witcher 3, Gwent, Cyberpunk, divers SDK de console (PS4 / PS5 XBOX NINTENDO) et certains journaux de construction.
Breachtrace a été informé que le code source divulgué contient des binaires permettant le lancement d’une version développeur de Witcher 3. Les développeurs travaillent maintenant à compiler le jeu à partir des sources, en partageant une vidéo et des captures d’écran avec Breachtrace qui, selon eux, ont été extraites d’une première version.
Sventek a déclaré à Breachtrace qu’ils étaient auparavant capables de compiler Cyberpunk 2077 à partir de la fuite de CD Projekt et qu’ils étaient à l’origine de la précédente fuite de code source de GTA V.
Qui est Hello Kitty
Hello Kitty était une opération de ransomware lancée en novembre 2020, connue pour attaquer les réseaux d’entreprise, voler des données et chiffrer les systèmes.
Leur première attaque très médiatisée a eu lieu en février 2021, lorsqu’ils ont violé CD Projekt Red, le créateur des titres Cyberpunk 2077, Witcher 3 et Gwent. Le gang de ransomwares a crypté les serveurs de l’entreprise et volé le code source dans le cadre de l’attaque.
HelloKitty a affirmé plus tard qu’ils avaient vendu les données sur le dark Web, y compris le code du Witcher 3 alors inédit.
L’opération de ransomware s’est progressivement élargie, libérant une variante axée sur Linux à la mi-2021 qui ciblait VMware ESXi, créant des opportunités de profit supplémentaires pour ses affiliés.
En 2022, le site de fuite de données pour une autre opération de ransomware, Yanluowang, aurait été piraté pour divulguer des conversations entre les membres. Ces conversations ont révélé que Yanluowang était étroitement associé au développeur de HelloKitty, qui utilisait le nom de Guki dans les conversations.
En octobre 2023, Gookee / kapuchin0 a divulgué le constructeur et le code source de HelloKitty sur un forum de pirates informatiques, marquant la fin des opérations.
Retourne en tant que HelloGookie
L’acteur de la menace affirme maintenant qu’il a rebaptisé l’opération de ransomware HelloGookie, mais n’a révélé aucune nouvelle victime et n’a aucune preuve d’attaques récentes.
Cependant, l’auteur de la menace a publié des informations volées lors d’attaques plus anciennes sur CD Projekt Red et Cisco. Le site de fuite de données comprend également quatre clés de déchiffrement privées pour une ancienne version du chiffreur de ransomware HelloKity, ce qui pourrait permettre à certaines victimes de récupérer leurs fichiers gratuitement.
Les chercheurs ont déclaré à Breachtrace qu’ils enquêtaient actuellement sur les clés pour déterminer avec quelles versions du chiffreur ils travaillaient.
L’entrée Cisco sur le site de fuite de données contient une liste de hachages NTLM (NT LAN Manager) (mots de passe de compte cryptés) supposément extraits lors d’une faille de sécurité.
Cisco avait précédemment admis en 2022 qu’il avait été piraté par le groupe de rançongiciels Yanluowang, un incident prétendument limité au vol de données non sensibles à partir d’un seul compte compromis.
L’accès de Kapuchin0 à ces données et un hommage à Yanluowang montrent une collaboration plus étroite entre les deux groupes qu’on ne le savait à l’origine.
« Cisco est au courant des informations récemment publiées faisant référence à un incident de sécurité survenu en mai 2022. Un résumé détaillé de l’incident peut être trouvé dans ce billet de blog d’août 2022 de Cisco Talos, notre organisation de recherche sur les menaces », a déclaré Cisco à Breachtrace aujourd’hui concernant la fuite de données.
Il reste à voir si HelloGookie atteindra le succès opérationnel, les volumes d’attaques et les niveaux de notoriété de HelloKitty.