Le ransomware HelloKitty devient HelloGookie et dévoile de nombreuses données sensibles d'entreprises ou de jeux vidéo.
« HelloKitty est mort, vive HelloGoogie ! », pourraient se gargariser les hackers. C'est son pirate de créateur qui a annoncé le « rebranding » de son ransomware. Désormais appelé HelloGookie par celui qui se fait appeler Gookee/kapuchin0, ce changement de marque s'accompagne d'un nouveau site sur lequel sont publiées des informations sensibles.
Une nouvelle vitrine qui n'a pas tardé à attirer des développeurs qui ont déjà exploité ces fuites, compilant et partageant des versions de développement de The Witcher 3.
HelloKitty, naissance et apogée d'un ransomware
Lancé en novembre 2020, HelloKitty est un ransomware qui s'est notamment distingué avec une offensive très médiatisée : le piratage de CD Projekt Red, le créateur des titres Cyberpunk 2077, The Witcher 3 et Gwent. Le groupe a réussi à crypter les serveurs de l'entreprise et à dérober le code source dans le cadre de l'attaque. Les données ont par la suite été vendues sur le dark web, y compris le code de The Witcher 3, alors inédit.
Après ce coup d'éclat, HelloKitty s'est progressivement étendu en libérant une variante sur Linux en 2021 qui ciblait VMware ESXi, histoire d'étendre ses ramifications et… ses profits. En 2022, le site de fuite de données d'une autre opération de ransomware, Yanluowang, aurait été piraté pour divulguer les conversations entre les membres. Ces conversations ont révélé que Yanluowang était étroitement associé au développeur de HelloKitty, qui utilisait le nom de Guki dans les conversations.
De HelloKitty à HelloGookie, histoire d'une métamorphose
En octobre 2023, Gookee/kapuchin0 a divulgué le créateur et le code source HelloKitty sur un forum de hackers. Ceci a alors sonné le glas des opérations. Le ransomware est alors rebaptisé HelloGookie et ne semble pas faire de nouvelles attaques ou de nouvelles victimes sous ce nouveau nom. Une fin inexplicable et des débuts plutôt timides pour ce gang pourtant aguerri qui a de quoi interroger les plus fines lames du cybercrime.
Mais l'histoire ne s'arrête évidemment pas là et HelloGookie va divulguer des informations volées lors d'attaques plus anciennes contre CD Projekt Red et Cisco sur son nouveau site. Il y dévoile également quatre clés de décryptage privées pour une ancienne version du chiffreur du ransomware HelloKitty, qui pourraient permettre à certaines victimes de récupérer leurs fichiers gratuitement.
Un accès à des archives de feu HelloKitty qui a aussitôt alerté les chercheurs du site spécialisé 3xp0rt. Ils ont déclaré à BleepingComputer qu'ils étudiaient actuellement les clés pour déterminer avec quelles versions du chiffreur ils travaillaient. Une équation à plusieurs inconnues dont la principale reste le succès d'HelloGookie par rapport à son ancêtre.
Mais si la plupart de ces gangs avec pignon sur rue s'en prend à de grosses structures comme Cisco ou CD Projekt, il n'en reste pas moins que des organisations plus discrètes et plus modestes ciblent des proies à leur portée comme les particuliers. Il existe heureusement des outils pour vous prémunir de ces ransomwares qui peuvent piller vos données ainsi que votre compte en banque.
30 octobre 2024 à 11h48
Source : Bleeping Computer