Início » Antivírus e Segurança » CD Projekt Red foi invadida por ransomware que atacou Cemig no Brasil

CD Projekt Red foi invadida por ransomware que atacou Cemig no Brasil

Ransomware HelloKitty, que afetou CD Projekt Red recentemente, é o mesmo que derrubou serviços da Cemig no final de 2020

Emerson AlecrimPor

Detalhes sobre o ataque hacker à CD Projekt Red, produtora de Cyberpunk 2077 e The Witcher, começam a vir à tona. A informação mais recente dá conta de que a companhia foi alvo do ransomware HelloKitty. O nome não é a única curiosidade a respeito do malware: sabe-se que esse é o mesmo ransomware que, no final de 2020, invadiu a Companhia Energética de Minas Gerais (Cemig).

Cyberpunk 2077 (imagem: Divulgação/CD Projekt Red)

Cyberpunk 2077 (imagem: divulgação/CD Projekt Red)

Seguindo um comportamento que é típico de ransomwares, o HelloKitty não atua de modo generalizado, afetando tudo o que é servidor que encontra pela frente. Em vez disso, o malware é utilizado em invasões com alvos específicos.

No caso da Cemig, o ataque foi executado em 25 de dezembro de 2020 e afetou serviços online oferecidos pela empresa, como emissão de segunda via de contas e canais de reclamação sobre problemas na rede elétrica. Os serviços só voltaram a funcionar três dias depois.

Foi Fabian Wosar, especialista da empresa de segurança digital Emsisoft, que apontou que o ransomware que afetou a CD Projekt Red é o HelloKitty, como já sabemos, o mesmo que causou transtornos à Cemig.

As poucas informações a respeito da praga indicam que, quando em ação, ela aciona o taskkill.exe (ferramenta do próprio Windows) para encerrar processos de antivírus, servidores de e-mail, ferramentas de backup, entre outros. O invasor também tenta desativar serviços relacionados ao Windows por meio da ferramenta net.exe.

Estima-se que o HelloKitty pode neutralizar mais de 1.400 processos e serviços diferentes. Na etapa seguinte, o malware passa a criptografar arquivos e a mudar a extensão deles para .crypted, como mostra a imagem abaixo — no ataque à Cemig, arquivos assumiram a extensão .kitty.

Arquivos criptografados pelo HelloKitty (imagem: Bleeping Computer)

Arquivos criptografados pelo HelloKitty (imagem: Bleeping Computer)

Com os arquivos criptografados, vem a parte do resgaste. As orientações para isso mudam de acordo com a vítima. No caso da Cemig, os invasores geraram arquivos chamados de “HOW-TO-RESTORE-FILES.txt” que informavam que os dados da empresa foram criptografados com algoritmo RSA de 1.024 bits.

A empresa foi orientada a entrar em um chat na dark web para providenciar o resgate. O chat foi acessado, mas a resposta da Cemig (“no thanks motherf*****”) indica que a companhia preferiu restaurar seus serviços com backups.

Repare na resposta da Cemig aos invasores (imagem: reprodução/Reddit)

Repare na resposta da Cemig aos invasores (imagem: reprodução/Reddit)

Uma abordagem semelhante foi tentada pelos invasores no ataque à CD Projekt Red. Por meio de um arquivo de texto chamado “read_me_unlock.txt”, a produtora foi orientada a acessar um chat para negociar um resgate.

Mas, novamente, não houve conversa. Em nota, a CD Projekt Red informou que a sua rede foi revisada e que os dados afetados já começaram a ser restaurados a partir de backups. A empresa também informou que já notificou as autoridades competentes sobre o incidente.

Com informações: Bleeping Computer, Ciso Advisor.

Comentários da Comunidade

Participe da discussão
4 usuários participando