CD Projekt Red foi invadida por ransomware que atacou Cemig no Brasil
Ransomware HelloKitty, que afetou CD Projekt Red recentemente, é o mesmo que derrubou serviços da Cemig no final de 2020
Ransomware HelloKitty, que afetou CD Projekt Red recentemente, é o mesmo que derrubou serviços da Cemig no final de 2020
Detalhes sobre o ataque hacker à CD Projekt Red, produtora de Cyberpunk 2077 e The Witcher, começam a vir à tona. A informação mais recente dá conta de que a companhia foi alvo do ransomware HelloKitty. O nome não é a única curiosidade a respeito do malware: sabe-se que esse é o mesmo ransomware que, no final de 2020, invadiu a Companhia Energética de Minas Gerais (Cemig).
Seguindo um comportamento que é típico de ransomwares, o HelloKitty não atua de modo generalizado, afetando tudo o que é servidor que encontra pela frente. Em vez disso, o malware é utilizado em invasões com alvos específicos.
No caso da Cemig, o ataque foi executado em 25 de dezembro de 2020 e afetou serviços online oferecidos pela empresa, como emissão de segunda via de contas e canais de reclamação sobre problemas na rede elétrica. Os serviços só voltaram a funcionar três dias depois.
Foi Fabian Wosar, especialista da empresa de segurança digital Emsisoft, que apontou que o ransomware que afetou a CD Projekt Red é o HelloKitty, como já sabemos, o mesmo que causou transtornos à Cemig.
As poucas informações a respeito da praga indicam que, quando em ação, ela aciona o taskkill.exe (ferramenta do próprio Windows) para encerrar processos de antivírus, servidores de e-mail, ferramentas de backup, entre outros. O invasor também tenta desativar serviços relacionados ao Windows por meio da ferramenta net.exe.
Estima-se que o HelloKitty pode neutralizar mais de 1.400 processos e serviços diferentes. Na etapa seguinte, o malware passa a criptografar arquivos e a mudar a extensão deles para .crypted, como mostra a imagem abaixo — no ataque à Cemig, arquivos assumiram a extensão .kitty.
Com os arquivos criptografados, vem a parte do resgaste. As orientações para isso mudam de acordo com a vítima. No caso da Cemig, os invasores geraram arquivos chamados de “HOW-TO-RESTORE-FILES.txt” que informavam que os dados da empresa foram criptografados com algoritmo RSA de 1.024 bits.
A empresa foi orientada a entrar em um chat na dark web para providenciar o resgate. O chat foi acessado, mas a resposta da Cemig (“no thanks motherf*****”) indica que a companhia preferiu restaurar seus serviços com backups.
Uma abordagem semelhante foi tentada pelos invasores no ataque à CD Projekt Red. Por meio de um arquivo de texto chamado “read_me_unlock.txt”, a produtora foi orientada a acessar um chat para negociar um resgate.
Mas, novamente, não houve conversa. Em nota, a CD Projekt Red informou que a sua rede foi revisada e que os dados afetados já começaram a ser restaurados a partir de backups. A empresa também informou que já notificou as autoridades competentes sobre o incidente.
Com informações: Bleeping Computer, Ciso Advisor.