【重出江湖】HelloKitty改名HelloGookie 賣大包公開解密金鑰
懷疑在上年自爆勒索軟件程式碼的黑客集團 HelloKitty,正式宣布改名 HelloGookie 繼續營運。為了祝暗網新網站開張,集團主腦 Gookee(又稱 kapuchin0)更在網站公開四個可用於解密被 HelloKitty 鎖死檔案的金鑰,以及從 Cisco 及遊戲開發公司 CD Projekt 盜取的應用程式及遊戲編碼的破解密碼。現階段尚未知道新集團是否已經如言開發出比 LockBit 更有趣的勒索軟件,但賣大包策略已確實收到宣傳效果。
HelloKitty 勒索軟件集團於 2020 年出現,過往曾因成功入侵遊戲開發公司 CD Projekt 而打響名堂,而集團亦因與時並進,不斷開發出新的版本,例如由最開初只針對 Windows 作業系統,到後期加入專攻 Linux 的版本,因而經常得手。
而集團的一貫做法是會先在目標網絡內建設立足點,待盜取到機密資料後便啟動加密檔案及設備程序,並向受害人進行雙重勒索。另一方面,早在 2022 年懷疑遭其他黑客入侵的勒索軟件集團 Yanluowang 似乎與 HelloKitty 關係密切,因為從外洩的對話計息中,可見雙方關係緊密,所以 Cisco 在 2022 年 5 月被 Yanluowang 盜取的資訊,亦出現在這個新網站之上。
去年網絡安全專家 3xport 發現疑似是 HelloKitty 程式開發者的人在俄羅斯地下討論區公開第一代程式碼,後來才得知集團以決定開發一款比行家 LockBit 集團更強大的勒索軟件為由,於是便公開自家軟件的程式碼,標誌集團停止運作。
事隔大半年, Gookee 宣布將集團改名,不單開設新的暗網網站,為了吸引眼球,集團更決定公開解密金鑰,以及 CD Projekt 開發遊戲 Gwent、Witcher 3 的程式碼破解密碼,消息一出,已有其他黑客下載使用,據知現時至少有一隊團隊正利用 Witch 3 外洩程式碼進行編譯,並公開了一些開發者版本的遊戲畫面及動畫。
集團改名為 HelloGookie 後,暫時未有發布新的勒索軟件工具資料,亦沒有在網站披露任何新的受害者,因而尚不清楚為何對方要在現階段進行宣傳。不過,已有網絡安全專家開始對 Gookee 釋出的四個解密金鑰進行驗證,檢查可用於哪個版本的 HelloKitty 之上,所以如果曾遭受 HelloKitty 攻擊而尚有檔案未能破解,就要密切留意檢查進度。
