HelloKitty fidye yazılımı operasyonunun bir operatörü, daha önce sızdırılan CD Projekt kaynak kodu, Cisco ağ bilgileri ve eski saldırılara ait şifre çözme anahtarlarının şifrelerini yayınlayarak adı ‘HelloGookie’ olarak değiştirdiklerini duyurdu.
Duyuruyu yapan tehdit aktörü ‘Gookee/kapuchin0’ adını kullanıyor ve artık kullanılmayan HelloKitty fidye yazılımının orijinal yaratıcısı olduğunu iddia ediyor.
Gibi ilk olarak tehdit araştırmacısı 3xp0rtblog tarafından bildirildi Perşembe günü, yeniden markalaşma, HelloGookie için yeni bir karanlık web portalının lansmanına denk geliyor.
Lansmanı kutlamak için tehdit aktörü, eski saldırılarda dosyaların şifresini çözmek için kullanılabilecek dört özel şifre çözme anahtarının yanı sıra 2022 saldırısında Cisco’dan çalınan dahili bilgileri ve Gwent, Witcher 3 ve sızdırılan kaynak kodunun şifrelerini yayınladı. Red Engine, 2021’de CD Projekt’ten çalındı.
İlk olarak VX-Underground tarafından tespit edildiği üzere bir grup geliştirici, Witcher 3’ü sızdırılan kaynak kodundan derlemiş ve geliştirme yapılarının ekran görüntülerini ve videolarını paylaşmıştı.
Witcher 3’ü derleyen grubun ‘sventek’ olarak bilinen bir temsilcisi, BleepingComputer’a, sızdırılan CD Projekt verilerinin sıkıştırılmamış 450 GB olduğunu ve Witcher 3, Gwent, Cyberpunk, çeşitli konsol SDK’ları (PS4/PS5 XBOX NINTENDO) ve bazılarının kaynak kodunu içerdiğini söyledi. günlükler oluşturun.
BleepingComputer’a, sızdırılan kaynak kodunun Witcher 3’ün geliştirici sürümünün başlatılmasına izin veren ikili dosyalar içerdiği söylendi. Geliştiriciler şu anda oyunu kaynaktan derlemeye çalışıyor ve erken bir sürümden alındığını söyledikleri bir videoyu ve ekran görüntülerini BleepingComputer ile paylaşıyor. .
Sventek, BleepingComputer’a daha önce Cyberpunk 2077’yi CD Projekt’in sızıntısından derleyebildiklerini ve önceki GTA V kaynak kodu sızıntısının arkasında olduklarını söyledi.
HelloKitty kimdir?
HelloKitty, Kasım 2020’de başlatılan ve kurumsal ağlara saldırması, veri çalması ve sistemleri şifrelemesiyle ünlü bir fidye yazılımı operasyonuydu.
İlk yüksek profilli saldırıları Şubat 2021’de Cyberpunk 2077, Witcher 3 ve Gwent oyunlarının yaratıcısı CD Projekt Red’i ihlal ettiklerinde gerçekleşti. Fidye yazılımı çetesi, saldırının bir parçası olarak şirketin sunucularını şifreledi ve kaynak kodunu çaldı.
HelloKitty daha sonra, o zamanlar yayınlanmayan Witcher 3’ün kodu da dahil olmak üzere verileri karanlık ağda sattıklarını iddia etti.
Fidye yazılımı operasyonu giderek büyüdü ve 2021 ortalarında VMware ESXi’yi hedef alan Linux odaklı bir varyantı piyasaya sürerek bağlı kuruluşlar için ek kar elde etme fırsatları yarattı.
2022 yılında, başka bir fidye yazılımı operasyonu olan Yanluowang’ın veri sızıntısı sitesinin, üyeler arasındaki konuşmaları sızdırmak için saldırıya uğradığı iddia edildi. Bu konuşmalar, Yanluowang’ın, konuşmalarda Guki adını kullanan HelloKitty’nin geliştiricisiyle sıkı bir ilişkisi olduğunu ortaya çıkardı.
Ekim 2023’te Gookee/kapuchin0, HelloKitty oluşturucusunu ve kaynak kodunu bir hacker forumunda sızdırarak operasyonların sonunu işaret etti.
HelloGookie olarak geri döner
Tehdit aktörü, fidye yazılımı operasyonunu HelloGookie olarak yeniden adlandırdıklarını ancak yeni kurbanları açıklamadıklarını ve yakın zamanda gerçekleşen saldırılara dair hiçbir kanıt bulunmadığını iddia ediyor.
Ancak tehdit aktörü, CD Projekt Red ve Cisco’ya yapılan eski saldırılardan çalınan bilgileri yayınladı. Veri sızıntısı sitesi ayrıca HelloKity fidye yazılımı şifreleyicisinin eski bir sürümü için bazı kurbanların dosyalarını ücretsiz olarak kurtarmasına olanak tanıyan dört özel şifre çözme anahtarı da içeriyor.
Araştırmacılar BleepingComputer’a, şifreleyicinin hangi sürümleriyle çalıştıklarını belirlemek için şu anda anahtarları araştırdıklarını söyledi.
Veri sızıntısı sitesindeki Cisco girişi, bir güvenlik ihlali sırasında çıkarıldığı iddia edilen NTLM (NT LAN Manager) karmalarının (şifreli hesap şifreleri) bir listesini içerir.
Cisco daha önce 2022’de Yanluowang fidye yazılımı grubu tarafından saldırıya uğradığını itiraf etmişti; bu olayın, ele geçirilen tek bir hesaptan hassas olmayan verilerin çalınmasıyla sınırlı olduğu iddia ediliyor.
Kapuchin0’ın bu verilere erişimi ve Yanluowang’a seslenmesi, iki grup arasında başlangıçta bilinenden daha yakın bir işbirliği olduğunu gösteriyor.
Cisco bugün BleepingComputer’a sızıntıyla ilgili olarak şunları söyledi: “Cisco, Mayıs 2022’de meydana gelen bir güvenlik olayına atıfta bulunan yakın zamanda yayınlanan bilgilerin farkındadır. Olayın ayrıntılı bir özeti, tehdit istihbaratı araştırma kuruluşumuz Cisco Talos’un Ağustos 2022 tarihli blog yazısında bulunabilir.” veri.
HelloGookie’nin HelloKitty’nin operasyonel başarısına, saldırı hacimlerine ve kötü şöhret seviyelerine ulaşıp ulaşamayacağını zaman gösterecek.