Το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI) έστειλε μια ειδοποίηση προειδοποιώντας τους συνεργάτες της ιδιωτικής βιομηχανίας ότι η συμμορία ransomware HelloKitty (γνωστή και ως FiveHands) έχει προσθέσει τις επιθέσεις denial-of-service (DDoS) στο οπλοστάσιό των εκβιασμών της.
Δείτε επίσης: Διαρροή δεδομένων celebrities μετά από ransomware επίθεση στη Graff
Σε μια ειδοποίηση της Παρασκευής που συντονίστηκε με την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA), το FBI είπε ότι η ομάδα ransomware θα κατέστρεφε τους επίσημους ιστότοπους των θυμάτων τους με DDoS, εάν δεν συμμορφώνονταν με τις απαιτήσεις για λύτρα.
Το HelloKitty είναι επίσης γνωστό για την κλοπή ευαίσθητων εγγράφων από τους servers των θυμάτων που έχουν παραβιαστεί πριν τα κρυπτογραφήσει. Τα exfiltrated αρχεία χρησιμοποιούνται αργότερα ως μόχλευση για να πιέσουν τα θύματα να πληρώσουν τα λύτρα υπό την απειλή της διαρροής των κλεμμένων δεδομένων στο διαδίκτυο σε έναν ιστότοπο διαρροής δεδομένων.
Οι χειριστές του ransomware θα χρησιμοποιήσουν διάφορες μεθόδους για να παραβιάσουν τα δίκτυα των στόχων, συμπεριλαμβανομένων των credentials που έχουν παραβιαστεί και των ελαττωμάτων ασφαλείας που επιδιορθώθηκαν πρόσφατα στα προϊόντα SonicWall (π.χ. CVE-2021-20016, CVE-2021-20021, CVE-2021-200222, CVE- -2002).
Δείτε επίσης: Chaos ransomware: Στοχεύει παίκτες μέσω ψεύτικων alt lists Minecraft
Το HelloKity είναι μια ομάδα ransomware που είναι ενεργή από τον Νοέμβριο του 2020 και εντοπίστηκε για πρώτη φορά από το FBI τον Ιανουάριο του 2021.
Η συμμορία είναι κυρίως γνωστή για την παραβίαση και την κρυπτογράφηση των συστημάτων της CD Projekt Red που έγινε τον Φεβρουάριο. Η ομάδα ισχυριζόταν ότι έχει κλέψει τον πηγαίο κώδικα των Cyberpunk 2077, Witcher 3, Gwent και άλλων παιχνιδιών.
Η ομάδα HelloKitty αργότερα ισχυρίστηκε ότι κάποιος είχε αγοράσει τα αρχεία που είχαν κλαπεί από το CD Projekt Red, αν και αυτό δεν επιβεβαιώθηκε ποτέ.
Η συμμορία ransomware παρατηρήθηκε ότι τουλάχιστον από τον Ιούλιο του 2021 χρησιμοποιεί μια παραλλαγή Linux που στοχεύει την πλατφόρμα εικονικής μηχανής ESXi της VMware.
Αυτή είναι μόνο μία από τις πολλαπλές συμμορίες ransomware που στοχεύουν servers Linux μετά τη μετεγκατάσταση εταιρικών στόχων στη χρήση εικονικών μηχανών για αποτελεσματικότερη χρήση των πόρων και ευκολότερη διαχείριση συσκευών.
Με στόχο τις εικονικές τους μηχανές, οι χειριστές ransomware μπορούν πλέον να κρυπτογραφούν πολλούς servers ταυτόχρονα, με μία μόνο εντολή, εξοικονομώντας χρόνο και προσπάθεια.
Δείτε επίσης: Επίθεση ransomware στην Norsk Hydro: Συνελήφθησαν οι ένοχοι!
Με βάση τις υποβολές που έγιναν από τα θύματά τους στην πλατφόρμα ID Ransomware, το HelloKitty αύξησε σημαντικά τη δραστηριότητά του τον Ιούλιο και τον Αύγουστο, αμέσως μετά την έναρξη χρήσης της παραλλαγής Linux σε επιθέσεις.
Το HelloKitty ransomware ή οι παραλλαγές του έχουν εντοπιστεί και με άλλα ονόματα, όπως DeathRansom και Fivehands.
Πηγή πληροφοριών: bleepingcomputer.com
