Els investigadors de seguretat i els experts en ciberseguretat han descobert recentment noves variants del famós programari de segrest HelloKitty, i han assenyalat el seu ressorgiment amb atacs dirigits a entorns Windows, Linux i ESXi.

El programari de segrest HelloKitty, que va aparèixer inicialment l’octubre de 2020 com a bifurcació de DeathRansom, ha evolucionat significativament en els seus mètodes de xifratge.

El programari de segrest ara incorpora una clau pública RSA-2048, que s’utilitza com a hash mitjançant SHA256 per servir com a identificador de víctima únic.

Cada fitxer xifrat fa servir un valor de llavor de 32 bytes derivat de la marca de temps de la CPU, i fa servir Salsa20 per al xifratge inicial, seguit d’AES per al xifratge de fitxers.

Després del xifratge, els fitxers reben una extensió com ara CRYPTED, CRYPT o KITTY, juntament amb metadades adjuntes per al desxifratge, inclosa una mida de fitxer xifrat amb RSA, un valor màgic i la clau AES.

Algunes variants utilitzen una clau pública NTRU, que mostra l’adaptabilitat del programari de segrest en tècniques de xifratge.

Pel que fa a l’expansió de la xarxa, HelloKitty no només s’ha orientat a més plataformes, sinó que també ha ampliat el seu abast geogràfic.

Les mostres inicials del 2020 es van centrar principalment en sistemes operatius Windows.

Tanmateix, el juliol de 2021, el grup va desenvolupar un xifrador per a entorns Linux ESXi, i mostra la seva intenció d’ampliar els seus vectors d’atac.

Distribució geogràfica i ambigüitat d’atribució

Les últimes mostres de HelloKitty han aparegut en diversos països, sobretot a la Xina, la qual cosa provoca debat sobre els orígens del grup.

Tot i que les agències de ciberseguretat dels Estats Units han atribuït les seves operacions a Ucraïna, diversos artefactes apunten a una influència xinesa més forta, com ara l’ús de la llengua xinesa en fitxers interns, connexions a adreces IP xineses i càrregues inicials de noves mostres de la Xina.

Segons Report, aquesta combinació d’evidències suggereix una ofuscació deliberada dels orígens o una operació multinacional.

Per exemple, un dels fitxers interns va revelar la presència d’entitats xineses com QQ, SkyCN i caràcters de xinès mandarí als noms de fitxers, juntament amb l’absència d’empreses xineses a la llista de víctimes filtrades.

A més, una mostra identificada el 2024 es va connectar a C2 server vinculat a CHINANET, una gamma IP que històricament s’ha associat amb operacions cibernètiques xineses com l’Evasive Panda.

Evolució dels TTP: 2020 vs. 2024

L’anàlisi de les tàctiques, tècniques i procediments (TTP) del programari de segrest HelloKitty mostra una evolució marcada des dels seus inicis:

• Mostres de 2020: es van centrar principalment en operacions bàsiques com la consulta de volums d’ombra per eliminar còpies de seguretat, injeccions de processos, WMI per a la persistència i inundació d’esgotament del sistema operatiu. La cadena d’infecció implicava desactivar els serveis de seguretat acabant els processos amb TaskKill i incrustant un certificat arrel per a l’ocultació.
• Mostres de 2024: hi ha un canvi notable cap a un reconeixement del sistema més agressiu, inclosa la consulta del registre, el descobriment d’informació del sistema i el descobriment d’ubicacions. El grup ha perfeccionat el seu enfocament, ha eliminat certs passos com la instal·lació de certificats arrel, possiblement per eludir les solucions modernes de seguretat de punt final, que des de llavors s’han tornat més hàbils per detectar aquestes activitats.

Victimologia i desplegament per actors d’amenaça

La victimologia de HelloKitty, tot i no ser tan expansiva com alguns altres grups, ha estat notable.

El grup s’ha dirigit a un conjunt divers de víctimes, com ara:

• CD PROJEKT: el febrer de 2021, el grup va comprometre l’estudi de jocs CD Projekt Red a Polònia, i va aprofitar el xifratge dels fitxers de desenvolupament de jocs per obtenir un rescat.
• Central elèctrica CEMIG: el desembre de 2020, el programari de segrest va afectar una central elèctrica brasilera, amb la qual cosa va triar la infraestructura crítica com a objectiu.
• Serveis sanitaris: hi ha hagut incidents que han afectat proveïdors d’assistència sanitària al Regne Unit i serveis informàtics a França, amb la qual cosa mostra una àmplia gamma en sectors objectiu.

A més, el programari de segrest HelloKitty ha estat desplegat per diversos actors d’amenaça, inclosos els afiliats de Vice Society, UNC2447, Lapsus$ i Yanluowang, cosa que indica la seva popularitat i adaptabilitat a l’ecosistema de programari de segrest com a servei (RaaS).

Tot i que actualment no hi ha presència activa a la web fosca, la descoberta d’una nova mostra (MD5:a831d838a924ea135c3e0f315f73fcd3) carregada des de la Xina, que no té un enllaç .onion però que comparteix similituds de codi amb el programari de segrest conegut, suggereix que el grup està recalibrant les seves operacions.

Amb una coincidència aproximadament del 5 % amb el programari maliciós RingQ, els creadors podrien estar en procés de desenvolupar una nova infraestructura, i preparar-se potencialment per a una campanya més agressiva.

El ressorgiment de HelloKitty, ara equipat amb un xifratge sofisticat, una orientació diversa a diferents plataformes i una empremta geogràfica ambigua, presenta un repte formidable per als professionals de la ciberseguretat.

L’evolució del grup des de la seva variant de 2020 a la versió refinada i més evasiva de 2024 posa de manifest la innovació implacable en la ciberdelinqüència. A mesura que el programari de segrest continua evolucionant, també ho han de fer les estratègies emprades per detectar, respondre i mitigar aquestes amenaces avançades.