HelloKitty

HelloKittyランサムウェアの運営者が、名前を「HelloGookie」に変更し、以前に流出したCD Projektのソースコードのパスワード、Ciscoのネットワーク情報、古い攻撃の復号キーを公開したと発表した。

この発表を行った脅威行為者は、「Gookee/kapuchin0」という名前で、今は亡きHelloKittyランサムウェアのオリジナル作成者であると主張している。

木曜日に脅威研究者3xp0rtによって最初に報告されたように、このリブランディングはHelloGookieの新しいダークウェブポータルの立ち上げと同時に行われました。

このポータルの開設を記念して、脅威研究者は、古い攻撃でファイルを復号化するために使用できる4つのプライベート復号化キー、2022年の攻撃でCiscoから盗まれた内部情報、2021年にCD Projektから盗まれたGwent、Witcher 3、Red Engineの流出ソースコードのパスワードを公開しました。

VX-Undergroundが最初に発見したように、ある開発者グループは既に流出したソースコードからウィッチャー3をコンパイルしており、開発ビルドのスクリーンショットやビデオを共有している。

VX-Underground tweet

ウィッチャー3をコンパイルしているグループの代表者の一人である’sventek’は、流出したCD Projektのデータは非圧縮で450GBあり、ウィッチャー3、グウェント、サイバーパンク、各種コンソールSDK(PS4/PS5 XBOX NINTENDO)、いくつかのビルドログのソースコードが含まれていると語った。

流出したソースコードには、ウィッチャー3の開発者ビルドを起動するためのバイナリが含まれているとのこと。開発者は現在、ソースからゲームをコンパイルする作業を行っており、初期のビルドから取られたというビデオとスクリーンショットを公開しています。

Screenshot of alleged Witcher 3 build compiled from leaked source code
流出したソースコードからコンパイルされたとされるウィッチャー3ビルドのスクリーンショット
Source:Sventek

Sventekは、以前CD ProjektのリークからCyberpunk 2077をコンパイルすることができ、以前のGTA Vのソースコード流出にも関与していたと語っています。

HelloKittyとは?

HelloKittyは2020年11月に登場したランサムウェアで、企業ネットワークを攻撃し、データを盗み、システムを暗号化することで悪名高い。

2021年2月、「サイバーパンク2077」、「ウィッチャー3」、「グウェント」の開発元であるCD Projekt Redに侵入し、初めて大きな注目を集めました。このランサムウェア集団は、攻撃の一環として同社のサーバーを暗号化し、ソースコードを盗み出しました。

CD Projekt Red ransom note
CD Projekt Red の身代金要求書
ソースは こちら:

HelloKittyは後に、当時未発売だった『ウィッチャー3』のコードを含むデータをダークウェブで販売したと主張した。

このランサムウェアは徐々に規模を拡大し、2021年半ばにはVMware ESXiを標的としたLinuxに特化した亜種をリリースし、関連会社にさらなる利益を生み出す機会をもたらした。

2022年、別のランサムウェア・オペレーション「Yanluowang」のデータ流出サイトがハッキングされ、メンバー間の会話が流出したとされる。これらの会話から、YanluowangはHelloKittyの開発者と密接な関係にあり、その開発者は会話の中でGukiという名前を使っていたことが明らかになった。

2023年10月、Gookee/kapuchin0はハッカーフォーラムでHelloKittyビルダーとソースコードを流出させ、活動を終了した。

HelloGookieとしての復活

この脅威の実行者は現在、ランサムウェアのオペレーションをHelloGookieとして再ブランド化したと主張していますが、新たな被害者の存在は明らかにしておらず、最近の攻撃の証拠もありません。

しかし、この脅威者はCD Projekt RedとCiscoに対する古い攻撃から盗まれた情報を公開しています。このデータ流出サイトには、HelloKityランサムウェア暗号化ソフトの古いバージョン用の4つのプライベート復号キーも含まれており、一部の被害者は無料でファイルを復元できる可能性がある。

研究者によると、現在、暗号化キーのどのバージョンで動作するか調査中だという。

New HelloGookie site
新しいHelloGookieサイト

データ流出サイトのCiscoのエントリには、セキュリティ侵害の際に抽出されたと思われるNTLM(NT LAN Manager)ハッシュ(暗号化されたアカウントパスワード)のリストが含まれている。

Ciscoは以前、2022年にYanluowangランサムウェアグループにハッキングされたことを認めたが、この事件は、侵害された1つのアカウントから機密性のないデータが盗まれたにすぎなかったとされている。

Kapuchin0がこのデータにアクセスし、Yanluowangを賞賛したことは、2つのグループが当初知られていたよりも緊密な協力関係にあることを示している。

「シスコは、2022年5月に発生したセキュリティ・インシデントについて、最近公表された情報を認識しています。このインシデントの詳細な要約は、当社の脅威インテリジェンス調査機関であるCisco Talosによる2022年8月のブログ投稿に記載されています。

HelloGookieがHelloKittyのような作戦上の成功、攻撃量、悪名レベルに達するかどうかはまだわからない。