Barracuda full logo

HelloGookie. HelloKitty. Bonjour, LockBit

Thèmes:
24 avr. 2024
|
Christine Barry

Dans un autre changement de nom de ransomware, l’opérateur de la défunte opération HelloKitty a lancé une nouvelle menace appelée « HelloGookie ». Le nouveau nom vient probablement de l’un des surnoms de l’opérateur, « Guki » ou « Gookee ». Il utilise également le nom « Kapuchin0 », qu'il semble préférer lorsqu'il publie sur les forums.

HelloGookie

HelloGookie a déjà publié deux attaques sur un site de fuites, mais ce ne sont pas des attaques récentes. Ces messages font référence à des attaques menées en 2021 et 2022, lesquelles ont été attribuées à HelloKitty, qui a également été désigné comme possible acteur affilié. Contrairement au changement de nom typique d’un pirate, HelloGookie n’a pas essayé de cacher son passé. 

 

 

HelloKitty

Les chercheurs ont observé le ransomware HelloKitty pour la première fois fin 2020. La première grande cible était la société énergétique brésilienne CEMIG (Companhia Energética de Minas Gerais), qui a annoncé sur Facebook avoir été victime d'une attaque par ransomware. Voici une partie de la note laissée sur place :

 

 

En février 2021, CD Projekt Red (CDPR) a annoncé qu'elle avait été victime d'un pirate inconnu. CDPR développe des jeux de rôle populaires tels que The Witcher et Cyberpunk 2077.  De nombreuses personnes ont pensé qu'un joueur mécontent avait lancé l'attaque, ou que CDPR avait simulé la menace pour détourner l'attention du public des failles de son nouveau jeu. Les chercheurs ont rapidement infirmé cette version et il a été confirmé plus tard qu'HelloKitty vendait aux enchères les données CDPR volées. Tout au long de l'année 2021, l'opérateur a élargi ses capacités d'attaque en ajoutant une variante Linux et une menace de déni de service distribué (DDoS). La menace supplémentaire d'une attaque DDoS a fait passer HelloKitty du statut d'un pirate pratiquant la double extorsion à celui d'un pirate pratiquant la triple extorsion. HelloKitty a mené des campagnes agressives contre les CVE de SonicWall en juin 2021 et a été cité comme faisant partie d’une violation de Cisco en mai 2022.  

Le 6 octobre 2023, Kapuchin0/Gookie/Guki ont mis fin aux activités de HelloKitty. Il a dévoilé son ransomware et a attaqué LockBit en sortant.

 

 

 

L'arbre généalogique de HelloKitty

HelloKitty serait une reconstruction de DeathRansom, qui n'était qu'un ransomware de bluff lorsqu'il a été observé pour la première fois en 2019. Le ransomware de bluff est également appelé faux ransomware car il n'y a pas de véritable chiffrement des fichiers, bien qu'il y ait généralement un verrou de fichier qui perturbe l'accès aux fichiers. Les verrous de fichiers sont des logiciels malveillants qui ciblent les fonctions du système d'exploitation et non les fichiers.  Par exemple, il peut y avoir un écran de verrouillage sur le poste de travail qui empêche l'utilisateur d'interagir avec l'ordinateur, ou les fichiers d'un ordinateur peuvent être restreints par des autorisations système modifiées. DeathRansom n'avait même pas de verrou de fichiers quand il est apparu pour la première fois. Il renommait simplement les fichiers et laissait une demande de rançon. Cependant, ce n'est que quelques semaines après ses premières attaques que DeathRansom est devenu une menace de ransomware pleinement opérationnelle. L'activité de DeathRansom s'est arrêtée après une période de recherche agressive sur le groupe, bien qu'il puisse s'agir d'une coïncidence et non des résultats de l'enquête.

HelloKitty a également été étroitement lié au ransomware FiveHands, qui est également une nouvelle réécriture de DeathRansom. FiveHands était une opération de ransomware-as-a-service (RaaS) qui a également développé le ransomware Thieflock. Les opérateurs de Thieflock ont ensuite été associés à un groupe plus récent, le ransomware Yanluowang. Nous reviendrons à Yanluowang un peu plus tard.

Bien que HelloKitty ait été mentionnée dans la violation de Cisco en 2022, cette attaque a été officiellement attribuée à un affilié de UNC2447, Lapsus$ et Yanluowang. Les équipes de sécurité de Cisco ont détecté la violation et ont éliminé la menace avant que le ransomware ne puisse être déployé. Comme il n'y avait aucun ransomware à analyser pour cet incident, les équipes de Cisco ont décrit le comportement connu du pirate UNC2447, affirmant que celui-ci utilisait régulièrement « un ensemble de ransomwares, dont FIVEHANDS, HELLOKITTY, etc. »

Dans une étude distincte sur les attaques de SonicWall en 2021, les chercheurs de Mandiant ont noté que :

sur la base d'observations techniques et temporelles des déploiements de HELLOKITTY et FIVEHANDS, Mandiant soupçonne que HELLOKITTY a pu être utilisé par un programme global d'affiliation de mai 2020 à décembre 2020, et FIVEHANDS depuis environ janvier 2021.

Mandiant a également publié des comparaisons détaillées de HelloKitty, FiveHands et DeathRansom.

Revenons maintenant à Yanluowang. Il s'agissait d'un groupe de ransomware-as-a-service (RaaS) qui ciblait des entreprises américaines de tous types, mais surtout des sociétés financières. Le pirate « Saint » a représenté Yanluowang dans les forums criminels et la messagerie privée.  En octobre 2022, les journaux de discussion privés de Yanluowang ont été divulgués au public, révélant de nombreuses nouvelles informations sur le groupe. Ce qui nous intéresse, c'est que Guki de HelloKitty était l'un des membres les plus actifs dans les journaux de Yanluowang. Lors de l'une des conversations, Guki a demandé de l'aide à Saint pour de futures attaques. HelloKitty était un ransomware « à commande humaine », et Guki n'avait pas les effectifs nécessaires pour exploiter toutes les informations d'identification dont il disposait. Yanluowang était un groupe RaaS qui pouvait soit acheter ses actifs, soit lui donner une part de toute rançon collectée grâce à ses données.

Le groupe Yanluowang et Saint sont restés silencieux après la fuite des journaux de discussion en 2022.

Bonjour, LockBit

Et maintenant, nous en revenons aux messages laissés sur les forums par HelloGookie.

Gookee/Guki/Kapuchin0 publie sur les forums depuis au moins début mars 2024. Un chercheur (@3xp0rt) a enregistré certains des messages : 

 

Les mises à jour du forum HelloGookie ont été capturées par le chercheur sur les menaces 3xp0rt

Les mises à jour du forum HelloGookie ont été capturées par le chercheur sur les menaces 3xp0rt

 

J'ai expurgé les URL et certains termes, mais la majeure partie du contenu est intacte. Le message du 18 mars indique une recherche de « cibles importantes et intéressantes, relativement à mon expérience ». Le message du 25 mars demande une réponse de Yanluowang/Saint, peut-être pour discuter d'une future collaboration. Il en appelle également de nouveau à LockBit. Alexander Leslie, analyste du renseignement sur les menaces, a expliqué les relations entre les opérateurs de ransomware lors d'un récent séminaire en ligne :

« … tous ces grands groupes de ransomwares gagnent de l’argent les uns grâce aux autres. Ils partagent tous des affiliés, ils partagent tous une infrastructure. Ils attaquent tous certaines des mêmes victimes au même moment. Ils utilisent tous les mêmes forums. Ils discutent tous en privé les uns avec les autres. Oui, il y a parfois de l'animosité, en particulier lorsqu'un affilié donne les noms des victimes sur deux blogs différents, ce qui provoque une certaine rupture entre l'affilié et le groupe ou entre deux groupes. Oui, il y a des problèmes de parts de marché dans les ententes qu’ils ont conclues avec certains fournisseurs d’outils. Mais ces litiges, encore une fois, sont relativement superficiels par rapport aux formes traditionnelles de criminalité, parce qu'il est dans l'intérêt du ransomware que personne ne soit arrêté, que personne ne subisse de perturbation importante, que ce soit en interne ou du fait des forces de l'ordre, parce que tous ceux qui restent en activité contribuent au développement quantitatif et qualitatif des activités pour tous les autres groupes de ransomwares ».

Le 22 avril 2024, Gookee/Guki/Kapuchin0 a publié une annonce de « recherche d'aide » demandant à quelqu'un de passer des appels téléphoniques à des cibles de ransomwares :

 

 

Recruter un appelant signifie qu’HelloGookie est susceptible d’utiliser le phishing vocal, ou vishing. C’est intéressant, car le vishing a été utilisé lors de l’attaque Cisco en 2022 :

L'attaquant a mené une série d'attaques sophistiquées d'hameçonnage vocal sous l'apparence de diverses entreprises de confiance afin de convaincre la victime d'accepter les notifications push d'authentification multifactorielle (MFA) lancées par l'attaquant. L'attaquant a finalement réussi à obtenir une acceptation les notifications push d'authentification multifactorielle, lui donnant accès au VPN dans le contexte de l'utilisateur ciblé.

Les attaques par ransomware effectuées par des humains comme HelloKitty et vraisemblablement, HelloGookie, sont très dangereuses pour les entreprises. Ce document Microsoft explique le risque accru associé au fait que des criminels compétents effectuent des opérations de reconnaissance et dirigent l'attaque. 

 

Associées à des tactiques telles que le vishing et la fatigue liée à l'authentification multifactorielle, ces attaques peuvent s'avérer très efficaces pour accéder à des sites et à élever leurs privilèges.

 

Supposez que la menace est réelle.

Il est possible que Guki/Gookee/Kapuchin0 ne planifie pas de nouvelle attaque et qu'il essaie simplement d'attirer l'attention. Vous ne pouvez pas croire ce que disent ces criminels, et HelloGookie n'a pas encore donné le nom de nouvelles victimes. Lorsque le nom de nouvelles victimes est donné, il se peut qu'elles ne soient même pas victimes des attaques de HelloGookie. Parfois, les pirates se contentent de republier les noms des victimes de quelqu'un d'autre. Mais si l'opérateur de HelloKitty est de retour avec un meilleur logiciel, qu'il retrouve de vieux amis comme Saint, et qu'il fait entrer un appelant dans son opération... il y a là un risque légitime. Et même si l'arbre généalogique de HelloKitty ressemble à la canne de Harry Lauder, nous avons là un parcours de sept ans d'expérience potentielle en matière de cybercriminalité, alors que ces souches de logiciels malveillants renaissent et que les pirates passent d'un groupe à l'autre. 

Nous ne savons pas avec certitude si HelloGookie sera une menace réelle, mais nous sommes en présence d'un autre exemple plaidant pour l'adoption d'un état d'esprit « zero trust ». Vérifiez tout, y compris les appels téléphoniques et les invites d'authentification multifactorielle. Défendez-vous de tous les vecteurs de menace grâce à une sécurité complète et multicouche, et veillez à ce que vos utilisateurs reçoivent une formation de sensibilisation à la sécurité. 

 

Barracuda peut vous aider  

Seul Barracuda offre une protection polyvalente qui couvre les principaux vecteurs de menace, protège vos données et automatise les réponses aux incidents. Plus de 200 000 clients dans le monde comptent sur Barracuda pour protéger leurs e-mails, leurs réseaux, leurs applications et leurs données. Rendez-vous sur notre site Web pour découvrir notre plateforme complète de cybersécurité.

 

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.