Авторы вымогателя HelloKitty объявили о смене названия на HelloGookie и опубликовал пароли к ранее выложенным в сеть данным CD Projekt Red и Cisco, а также ключи дешифрования для старых атак.
Злоумышленник, сделавший это заявление, известен под никами Gookee и kapuchin0. Он утверждает, что является создателем малвари HelloKitty.
Напомним, что вымогатель HelloKitty появился еще в 2020 году и активно атаковал корпоративные сети, похищая данные и шифруя системы. Первая громкая атака этой группы произошла в феврале 2021 года, когда хакеры взломали CD Projekt Red, создателя игр Cyberpunk 2077, Witcher 3 и Gwent, зашифровав серверы компании и похитив исходные коды. Позже представители HelloKitty заявили, что продали украденное в даркнете.
В 2022 году, другая вымогательская группировка, Yanluowang, подверглась взлому. Тогда из-за утечки логов внутренних чатов стало известно, что Yanluowang может быть тесно связана с разработчиком HelloKitty, который использовал в разговорах ник Guki.
А осенью прошлого года на русскоязычном хак-форуме выложили исходный код HelloKitty. Тогда предполагаемый автор малвари, скрывающийся под kapuchin0, завил, что разрабатывает новый, более мощный шифровальщик и более не нуждается в HelloKitty.
Как теперь пишет ИБ-исследователь 3xp0rt, недавний «ребрендинг» шифровальщика в HelloGookie ознаменовался запуском нового сайта в даркнете.
В честь запуска операторы вымогателя опубликовали на новом ресурсе четыре приватных ключа дешифрования для старых версий HelloKitty, которые можно использоваться для расшифровки файлов, пострадавших в ходе прошлых атак.
Также была обнародована внутренняя информация, украденная у компании Cisco во время атаки 2022 года, и пароли для похищенного у CD Projekt Red исходного кода Gwent, Witcher 3 и Red Engine.
Издание Bleeping Computer сообщает, что представитель группы, занимающейся компиляцией Witcher 3 по слитым исходникам, известный под ником sventek, рассказал, что утечка представляет собой 450 ГБ данных и содержит исходный код для Witcher 3, Gwent, Cyberpunk, различные консольные SDK (PS4/PS5 XBOX NINTENDO), а также некоторые логи сборок. В частности, дамп содержит бинарники, позволяющие запустить сборку Witcher 3 для разработчиков.
Что касается данных, похищенных у Cisco, утечка содержит список хешей NTLM (NT LAN Manager), предположительно извлеченных в ходе взлома систем компании. В 2022 году, компания Cisco признавала, что была атакована группировкой Yanluowang. Тогда утверждалось, что инцидент ограничился кражей незначительных данных из одной учетной записи.
Как отмечают журналисты, доступ kapuchin0 к этим данным, свидетельствует о более тесном сотрудничестве между Yanluowang и HelloKitty, чем предполагалось ранее.