Un attore minaccioso ha divulgato il codice sorgente completo della prima versione del ransomware HelloKitty su un forum di hacking russo, affermando di essere in fase di sviluppo di un nuovo criptatore più potente. Il leak è stato scoperto per la prima volta dal ricercatore di cybersecurity 3xp0rt, che ha notato un attore minaccioso di nome ‘kapuchin0’ rilasciare il “primo ramo” del criptatore ransomware HelloKitty.
Chi è dietro la divulgazione?
Mentre il codice sorgente è stato rilasciato da qualcuno di nome ‘kapuchin0’, 3xp0rt ha rivelato a BleepingComputer che l’attore minaccioso utilizza anche l’alias ‘Gookee’. Un attore minaccioso di nome Gookee è stato precedentemente associato a malware e attività di hacking, tentando di vendere l’accesso alla Sony Network Japan nel 2020, collegato a un’operazione di Ransomware-as-a-Service chiamata ‘Gookee Ransomware’ e cercando di vendere codici sorgente di malware su un forum di hacker. 3xp0rt ritiene che kapuchin0/Gookee sia lo sviluppatore del ransomware HelloKitty, che ora afferma: “Stiamo preparando un nuovo prodotto molto più interessante di Lockbit.”
Contenuto del leak
L’archivio rilasciato, hellokitty.zip, contiene una soluzione Microsoft Visual Studio che costruisce il criptatore e il decriptatore HelloKitty e la libreria NTRUEncrypt che questa versione del ransomware utilizza per criptare i file. L’esperto di ransomware Michael Gillespie ha confermato a BleepingComputer che si tratta del legittimo codice sorgente di HelloKitty utilizzato quando l’operazione ransomware è stata lanciata per la prima volta nel 2020.
Implicazioni della divulgazione
Sebbene il rilascio del codice sorgente del ransomware possa essere utile per la ricerca sulla sicurezza, la disponibilità pubblica di questo codice ha le sue controindicazioni. Come visto quando sono stati rilasciati i codici sorgenti di HiddenTear e Babuk ransomware, gli attori minacciosi hanno rapidamente utilizzato il codice per avviare le proprie operazioni di estorsione. Ancora oggi, oltre nove operazioni di ransomware continuano a utilizzare il codice sorgente di Babuk come base per i propri criptatori.
Chi è HelloKitty?
HelloKitty è un’operazione di ransomware gestita da esseri umani, attiva dal novembre 2020. La gang è nota per attacchi informatici a reti aziendali, furto di dati e criptazione di sistemi. L’attacco più pubblicizzato è stato quello a CD Projekt Red nel febbraio 2021. Durante questo attacco, gli attori minacciosi hanno affermato di aver rubato i codici sorgente di vari giochi, tra cui Cyberpunk 2077 e Witcher 3.