Hello Kitty adalah sebuah karakter yang didesain oleh perusahaan Jepang dan pada masanya barang-barang Hello Kitty menembus pasar lebih dari 60 negara di seluruh dunia dan menjadi incaran berbagai kalangan serta tingkatan umur. Di tahun 2021, Hello Kitty ternyata muncul lagi tapi kali ini mereka membawa ancaman yang serius.
Ancaman ini berasal dari sebuah grup ransomware yang menamakan diri ereka sebagai Hello Kitty yang melakukan serangan ransomware terhadap CD Projekt Red. Nama grup ini memang membuat kita nostalgia dengan karakter beken di waktu lalu.
CD Projekt baru saja mengungkapkan bahwa mereka adalah target serangan ransomware yang mengenkripsi perangkat di jaringan mereka dan menyebabkan pencurian file yang tidak terenkripsi.
Pihak Projekt CD mengungkapkan bahwa mereka telah menjadi korban serangan dunia maya yang ditargetkan, yang menyebabkan beberapa sistem internal mereka telah disusupi.
Pelaku kejahatan ini memperoleh akses tidak sah ke jaringan internal Projekt CD, mengumpulkan data tertentu milik kelompok modal CD PROJEKT, dan meninggalkan catatan tebusan yang kontennya dirilis ke publik.
Meskipun beberapa perangkat di jaringan mereka telah dienkripsi, cadangan data mereka tetap ada dan utuh. Mereka juga sudah mengamankan infrastruktur IT dan mulai memulihkan datanya.
Sebagai bagian dari pengumuman tersebut, CD Projekt juga merilis tangkapan layar dari catatan tebusan yang ditinggalkan oleh para pelaku. Ransomware yang bertanggung jawab atas serangan cyber ini disebut ‘HelloKitty.’
Ransomware HelloKitty
Operasi ransomware ini telah aktif sejak November 2020 dan telah menyasar perusahaan besar lainnya, seperti perusahaan listrik Brazil CEMIG tahun lalu.
Karena malware HelloKitty tidak terlalu aktif, tidak banyak informasi tentang ransomware tersebut. Ransomware HelloKitty diberi nama setelah mutex bernama ‘HelloKittyMutex’ yang digunakan saat program jahat yang dapat dieksekusi diluncurkan.
Setelah diluncurkan, HelloKitty akan berulang kali menjalankan taskkill.exe untuk menghentikan proses yang terkait dengan perangkat lunak keamanan, server email, server basis data, perangkat lunak cadangan, dan perangkat lunak akuntansi, seperti QuickBooks.
Ransomware juga akan mencoba untuk mematikan layanan Windows terkait dengan perintah net stop. Secara total HelloKitty menargetkan lebih dari 1.400 proses dan layanan Windows.
Setelah mematikan berbagai proses dan layanan yang ditargetkan, itu akan mulai mengenkripsi file di komputer. Saat mengenkripsi file, itu akan menambahkan ekstensi .crypted ke nama file terenkripsi, seperti yang ditunjukkan di bawah ini.
Jika ransomware menemukan file terkunci saat mengenkripsi, itu akan menggunakan Windows Restart Manager API untuk secara otomatis menghentikan proses atau layanan Windows yang membuat file tetap terbuka.
Karena setiap HelloKitty yang dapat dieksekusi disesuaikan dengan catatan tebusan khusus, nama catatan tebusan dapat berubah tergantung pada korban. Untuk korban HelloKitty yang telah dilihat , nama tebusan biasanya dinamai ‘read_me_unlock.txt,’ yang juga merupakan nama yang sama yang digunakan dalam serangan siber CD Projekt.
Catatan tebusan ini disesuaikan per korban untuk menyertakan jumlah data yang dicuri, data apa yang menjadi target, dan dalam banyak kasus, nama perusahaan. Teks khusus ini menunjukkan bahwa pelaku bersembunyi di jaringan yang disusupi selama beberapa waktu saat mereka mencuri data, dan setelah selesai, menyebarkan ransomware.
Terlampir dalam catatan tebusan adalah URL web gelap Tor yang dapat dikunjungi korban untuk bernegosiasi dengan pelaku ransomware. URL Tor ini berbeda untuk setiap korban dan berisi antarmuka obrolan sederhana untuk berbicara dengan pelaku ancaman.
Tidak diketahui seberapa besar permintaan tebusan untuk geng ransomware ini dan apakah para korban telah membayar di masa lalu. Saat ini, tidak ada kelemahan yang memungkinkan korban untuk mendekripsi file mereka secara gratis.
Sumber berita:
https://www.bleepingcomputer.com/
