Hace unos días, CD Projekt, la compañía polaca de videojuegos detrás de Cyberpunk 2077 y The Witcher, reveló que había sido atacada por un ataque de ransomware.

Visión general

El 9 de febrero de 2021, CD Projekt confirmó a través de Twitter que un actor no identificado había obtenido acceso a su red interna, cifrado algunos dispositivos en la red y robado datos.

En su nota de rescate, los actores de amenazas afirmaron haber robado copias completas del código fuente de Cyberpunk 2077, The Witcher 3, Gwent y una versión inédita de The Witcher 3, junto con documentos relacionados con contabilidad, administración, asuntos legales, recursos humanos y relaciones con inversores. y más.

Los atacantes amenazaron con vender o filtrar el código fuente robado en línea y enviar los documentos robados a periodistas de la industria del juego si CD Projekt se niega a cooperar.

CD Projekt cree que durante el incidente no se robaron datos personales de usuarios o reproductores.

CD Projekt se niega a negociar con las atacantes

En respuesta, CD Projekt declaró que no planea negociar con los atacantes y que ya está tomando medidas para restaurar los datos afectados a partir de copias de seguridad y trabajar con las partes que puedan verse afectadas por la infracción. La compañía también está trabajando con especialistas forenses de TI y de aplicación de la ley para investigar completamente el incidente.

Apoyamos incondicionalmente la decisión de CD Projekt de no pagar el rescate. Pagar el rescate no siempre conduce al descifrado seguro de los datos cifrados, ni garantiza que los delincuentes no se limiten a filtrar los datos robados de todos modos. En un nivel más macro, el pago de un rescate incentiva más ataques y alimenta el ciclo del ransomware, y puede utilizarse para financiar otras actividades delictivas graves.

Desde el incidente, hemos visto a un usuario subastar lo que parecen ser los códigos fuente robados de Cyberpunk 2077 y The Witcher 3 en un foro clandestino. La subasta comienza en $ 1 millón. Se ha confirmado la filtración de 28 GB de datos correspondientes al código fuente de Gwent, originalmente la filtración se publicó en el sitio de intercambio de archivos MEGA

Actualización 12/02/21: La subasta ha cerrado. Los piratas informáticos supuestamente vendieron los datos robados a un comprador ajeno al foro con la condición de que los datos no se distribuyeran a otras partes. No está claro quién es el comprador o por cuánto se vendieron los datos. La oferta de apertura de la subasta se fijó en $ 1 millón con una oferta de compra de $ 7 millones. El hecho de que la subasta se haya cerrado sugiere que el comprador estaba dispuesto a pagar al menos 7 millones de dólares por los datos, pero lo que pretenden hacer con el código fuente robado sigue siendo un misterio.

Hay otro escenario posible que creemos que es más probable: no existe ningún comprador y el cierre de la subasta es simplemente un medio para que los delincuentes salven las apariencias después de no poder monetizar el ataque tras la negativa de CD Projekt a pagar el rescate. Hemos visto este comportamiento en el pasado con REvil, un grupo de ransomware que amenazó con publicar información dañina sobre Donald Trump. Aunque el bufete de abogados pirateado se negó a pagar para evitar la filtración, la información nunca se publicó: los atacantes simplemente afirmaron haberla vendido.

Análisis Técnico Provisional

Si bien CD Projekt ha sido admirablemente transparente sobre el incidente, la compañía ha compartido algunos detalles sobre quién es responsable del ataque.

Según las convenciones de nomenclatura de la nota de rescate, creemos que el ransomware utilizado en el ataque fue HelloKitty. La nota de rescate publicada por CD Projekt se llama "read_me_unlock.txt" y HelloKitty es el único ransomware que hemos observado que usa ese formato de nomenclatura. Además, el lenguaje utilizado en la nota de rescate es similar al que hemos visto en otras notas de rescate de HelloKitty.

HelloKitty, observado por primera vez a principios de noviembre de 2020 por la investigación de seguridad MalwareHunterTeam, es una variante de ransomware poco conocida que se ha dirigido a un puñado de grandes empresas, incluida la eléctrica brasileña CEMIG. Se indica a las víctimas que se comuniquen con los operadores de HelloKitty a través del correo electrónico o de los sitios web .onion de la deep web.

HelloKitty recibe su nombre de un mutex llamado "HelloKittyMutex" que se utiliza cuando se ejecuta el ransomware. Un mutex permite que todos los procesos utilicen el mismo recurso, pero no simultáneamente; en el caso de HelloKitty, HelloKittyMutex evita que el ransomware ejecute más de una instancia de sí mismo a la vez.

Cuando se ejecuta, HelloKitty finaliza 1.706 procesos, cierra 57 servicios y elimina instantáneas a través de Windows Management Instrumentation.

Debido a que hay varias versiones de HelloKitty, es imposible decir qué método de cifrado se utilizó en el ataque de Projekt Red sin ver una muestra. Hemos visto versiones que usan cifrado AES-256 + RSA-2048, otras que usan AES-128 + NTRU y una versión Linux que usa AES-256 + ECDH.

Nota: Algunos analistas pueden referirse a HelloKitty como DeathRansom, una variedad de malware que originalmente solo era capaz de cambiar el nombre de los archivos. Posteriormente se desarrollaron diferentes versiones de DeathRansom que podían cifrar archivos de varias formas. Sin embargo, la relación entre DeathRansom y HelloKitty aún no está del todo clara.

¿Qué Pasa Después?

Queda por ver el impacto total del incidente. Desde una perspectiva empresarial, el ataque podría disminuir la reputación de la empresa, que ya se ha visto afectada tras el lanzamiento plagado de errores de Cyberpunk 2077. Desde una perspectiva de seguridad, los ciberdelincuentes podrían utilizar el código fuente filtrado para buscar vulnerabilidades en los productos de CD Projekt. que potencialmente podría afectar a los usuarios.

Actualizaremos este artículo en los próximos días a medida que analicemos las muestras disponibles y haya más información disponible.

#HelloKitty #CDProjekt #Ransomware #Antivirus