CD Projekt Red foi invadida por ransomware que atacou Cemig no Brasil

Ransomware HelloKitty, que afetou CD Projekt Red recentemente, é o mesmo que derrubou serviços da Cemig no final de 2020

Emerson Alecrim
Por
• Atualizado há 2 anos e 10 meses
Cyberpunk 2077 (imagem: Divulgação/CD Projekt Red)
Cyberpunk 2077 (imagem: divulgação/CD Projekt Red)

Detalhes sobre o ataque hacker à CD Projekt Red, produtora de Cyberpunk 2077 e The Witcher, começam a vir à tona. A informação mais recente dá conta de que a companhia foi alvo do ransomware HelloKitty. O nome não é a única curiosidade a respeito do malware: sabe-se que esse é o mesmo ransomware que, no final de 2020, invadiu a Companhia Energética de Minas Gerais (Cemig).

Seguindo um comportamento que é típico de ransomwares, o HelloKitty não atua de modo generalizado, afetando tudo o que é servidor que encontra pela frente. Em vez disso, o malware é utilizado em invasões com alvos específicos.

No caso da Cemig, o ataque foi executado em 25 de dezembro de 2020 e afetou serviços online oferecidos pela empresa, como emissão de segunda via de contas e canais de reclamação sobre problemas na rede elétrica. Os serviços só voltaram a funcionar três dias depois.

Foi Fabian Wosar, especialista da empresa de segurança digital Emsisoft, que apontou que o ransomware que afetou a CD Projekt Red é o HelloKitty, como já sabemos, o mesmo que causou transtornos à Cemig.

As poucas informações a respeito da praga indicam que, quando em ação, ela aciona o taskkill.exe (ferramenta do próprio Windows) para encerrar processos de antivírus, servidores de e-mail, ferramentas de backup, entre outros. O invasor também tenta desativar serviços relacionados ao Windows por meio da ferramenta net.exe.

Estima-se que o HelloKitty pode neutralizar mais de 1.400 processos e serviços diferentes. Na etapa seguinte, o malware passa a criptografar arquivos e a mudar a extensão deles para .crypted, como mostra a imagem abaixo — no ataque à Cemig, arquivos assumiram a extensão .kitty.

Arquivos criptografados pelo HelloKitty (imagem: Bleeping Computer)

Arquivos criptografados pelo HelloKitty (imagem: Bleeping Computer)

Com os arquivos criptografados, vem a parte do resgaste. As orientações para isso mudam de acordo com a vítima. No caso da Cemig, os invasores geraram arquivos chamados de “HOW-TO-RESTORE-FILES.txt” que informavam que os dados da empresa foram criptografados com algoritmo RSA de 1.024 bits.

A empresa foi orientada a entrar em um chat na dark web para providenciar o resgate. O chat foi acessado, mas a resposta da Cemig (“no thanks motherf*****”) indica que a companhia preferiu restaurar seus serviços com backups.

Repare na resposta da Cemig aos invasores (imagem: reprodução/Reddit)

Repare na resposta da Cemig aos invasores (imagem: reprodução/Reddit)

Uma abordagem semelhante foi tentada pelos invasores no ataque à CD Projekt Red. Por meio de um arquivo de texto chamado “read_me_unlock.txt”, a produtora foi orientada a acessar um chat para negociar um resgate.

Mas, novamente, não houve conversa. Em nota, a CD Projekt Red informou que a sua rede foi revisada e que os dados afetados já começaram a ser restaurados a partir de backups. A empresa também informou que já notificou as autoridades competentes sobre o incidente.

Com informações: Bleeping Computer, Ciso Advisor.

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Temas populares