HelloKitty: El ransomware que afecta a CD Projekt Red y Cyberpunk

Análisis de malware

HelloKitty: El ransomware que afecta a CD Projekt Red y Cyberpunk

9 de junio de por Pedro Tavares

HelloKitty es uno de los ejemplos recientes de ransomware utilizados para comprometer CD Projekt Red y Cyberpunk. El nombre HelloKitty proviene del grupo que atacó CD Projekt Red y Cyberpunk el 9 de febrero de. CD Projekt Red es un estudio de desarrollo de videojuegos detrás de Cyberpunk y la trilogía The Witcher. Reveló un incidente de ransomware que afectó a su red interna y a un gran grupo de activos críticos, incluido el código fuente de sus juegos populares.

“Un actor no identificado obtuvo acceso no autorizado a nuestra red interna, recopiló ciertos datos pertenecientes al grupo de capital CD Projekt y dejó una nota de rescate cuyo contenido hacemos público. Aunque algunos dispositivos en nuestra red han sido encriptados, nuestras copias de seguridad permanecen intactos. Ya hemos asegurado nuestra infraestructura de TI y hemos comenzado a restaurar los datos”, dijo la compañía en un comunicado emitido.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

1: Declaración oficial de CD Projekt Red en Twitter.

Una descripción general del ransomware HelloKitty

El ransomware HelloKitty se ha observado desde noviembre de y se ha dirigido a otras grandes empresas de todo el mundo, incluida la empresa eléctrica brasileña CEMIG y también una empresa francesa de servicios de TI.

2: Notas de ransomware lanzadas por el ransomware HelloKitty.

Al analizar la muestra de HelloKitty, podemos ver que la marca de tiempo y la fecha de creación sugieren que se compiló en noviembre de y la tabla de exportación se actualizó el 6 de febrero de, tres días antes del incidente de CD Projekt Red.

3: Marca de tiempo de EAT y compilación binaria.

El malware utiliza llamadas criptográficas de ADVAPI32.dll para cifrar los archivos de las víctimas y también elimina todos los archivos disponibles en la papelera (SHEmptyRecycleBinA).

ADVAPI32.dll CryptReleaseContextCriptaAcquireContextWCryptGenAleatorioSHELL32.dll SHEmptyRecycleBinA

Profundizando en los detalles de HelloKitty

El nombre HelloKitty proviene de su nombre mutex llamado “HelloKittyMutex” creado cuando se ejecuta el malware. La 4 a continuación muestra los bloques de código responsables de crear el mutex: ds: CreateMutexW.

4: HelloKittyMutex creado cuando se ejecuta el ransomware.

Curiosamente, el ransomware abre una terminal shell que muestra el resultado mientras se ejecuta. Este no es un comportamiento común observado en muchos programas de ransomware, pero puede ayudar a identificar muestras de esta familia particular de amenazas.

5: Resultado de la actividad de ransomware presentada durante el tiempo de ejecución.

Primero, HelloKitty busca archivos dentro del árbol de carpetas del sistema y luego cifra todos los archivos agregando una nueva extensión: .crypted. Además, un archivo de nota de rescate denominado “read_me_lkdtt.txt” se coloca en cada carpeta a la que accede.

6: Nota sobre cifrado de archivos y ransomware. ransomware HelloKitty.

Además, HelloKitty ejecuta repetidamente taskkill.exe para finalizar procesos asociados con software de seguridad, servidores de correo electrónico, servidores de bases de datos, software de respaldo y software de contabilidad. Algunos comandos se presentan a continuación.

“C:WindowsSystem32taskkill.exe” /f /estoy publicando*

“C:WindowsSystem32net.exe” detiene MSSQLServerADHelper100

7: Parte de los servicios detenidos por el ransomware HelloKitty.

Durante el proceso de cifrado, si el ransomware encuentra archivos bloqueados, los cifra utilizando la API del Administrador de reinicio de Windows para finalizar instantáneamente los procesos o servicios de Windows que están utilizando otras aplicaciones.

La nota de rescate está personalizada, incluido el volumen de datos comprometidos y exfiltrados, y también el nombre de la empresa objetivo. Este es un indicador claro de que los delincuentes navegan durante días a través de la infraestructura interna, comprometiendo muchos sistemas y finalmente implementando el ransomware para terminar la cadena de destrucción.

8: Nota de ransomware con instrucciones y enlace cebolla.

Finalmente, los delincuentes esperan un contacto por parte de la víctima en un chat disponible a través de la red TOR. Este es un comportamiento normal utilizado para grupos de ransomware recientes como Ragnar Locker.

9 : Chat de HelloKitty disponible a través de la red Tor.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Lidiando con Hello Kitty

Los delincuentes comprometen las redes de las víctimas y extraen documentos confidenciales mientras se mueven lateralmente en la infraestructura. Una vez que el controlador de dominio (DC) se ve comprometido, los delincuentes propagan el ransomware por toda la infraestructura para finalizar la cadena de infección y así dañar todos los dispositivos en el directorio activo y otros activos valiosos disponibles en la red.

En este sentido, monitorizar el uso de soluciones de seguridad endpoint, antivirus actualizados y el creciente uso de archivos canary son algunos mecanismos que podrían evitar la difusión de este tipo de amenazas a través de una red corporativa.

Fuentes:

ransomware HelloKitty , Semanal de Computadora

Ragar Locker , Segurança Informática

Métodos de eliminación de ransomware , Instituto Infosec