Déplier le sommaire Replier le sommaire
Le célèbre ransomware HelloKitty a changé d’identité pour devenir le ransomware HelloGookie. Cette métamorphose s’accompagne de manœuvres stratégiques et d’un engagement auprès de la communauté qui soulignent la capacité d’adaptation et la souplesse de cet opérateur de rançongiciel.
Ce changement de nom est loin d’être anodin ; il marque un tournant dans les stratégies employées et peut-être une adaptation au milieu concurrentiel des cybercriminels. L’apparition de HelloGookie a été marquée par la publication de clés de déchiffrement et la création d’un nouveau blog, témoignant d’une démarche proactive pour entrer en contact avec de potentielles victimes.
De HelloKitty à HelloGookie
Dans les coulisses, le créateur de HelloGookie, connu simplement sous les noms de Gookee/Gookie, a pris des initiatives stratégiques à l’égard du groupe de rançongiciels LockBit. Bien que la démarche semble diplomatique, elle reflète un souhait d’éviter une compétition directe et de chercher potentiellement une collaboration mutuellement avantageuse.
Un tel partenariat met en lumière la nature collaborative entre les groupes de ransomware, où les opérateurs oscillent constamment entre coopération et rivalité. Par ailleurs, le fait que Gookie ait réussi à réclamer leur compte sur le forum Exploit souligne un changement technologique et d’autorité au sein du groupe de ransomware, qui a su établir sa crédibilité au fil des années.
Le forum agit comme un centre névralgique pour l’activité cybercriminelle, facilitant les discussions, les collaborations ainsi que l’échange d’outils et de techniques. Le retour de Gookie sur le forum évoque également une reprise de leurs activités et potentiellement l’ajout de nouvelles victimes.
Les conversations sur le forum dévoilent les plans de HelloGookie
Les échanges sur les forums offrent un aperçu des tactiques et des capacités de HelloGookie. Les mises à jour ciblant les systèmes Linux et Windows indiquent une volonté de toucher un public plus large sur différentes plateformes. De plus, l’appel à la collaboration et au recrutement de personnes ayant accès à des cibles de haute valeur montrent une orientation stratégique vers des opérations plus sophistiquées et rentables.
Le site web de HelloGookie met en avant l’impact du ransomware, en listant de nouvelles victimes et en démontrant l’étendue de sa portée. Des organisations renommées telles que CD PROJEKT aux géants de l’industrie comme CISCO, le groupe de rançongiciel commence à étendre son influence à divers secteurs.
Les mots de passe pour les archives de code source cryptées divulguées, incluant Witcher 3 et Thronebreaker, précédemment vendus à 10 000 $ pièce, sont également disponibles sur le nouveau site de fuite de données. La divulgation des clés privées ajoute une complexité supplémentaire, l’acteur de menace partageant ouvertement ces clés sur son blog, introduisant ainsi un nouveau niveau de menace pour les parties affectées.
Le groupe original de HelloKitty, identifié en 2020, se spécialisait dans l’infiltration de réseaux, le cryptage de données, et la demande de rançons. Il ciblait des organisations possédant des données sensibles, représentant une menace sérieuse pour les entreprises. Désormais, la menace est plus grande et plus capable, allant au-delà de la simple encryption et extorsion.
Avertissement des médias : Ce rapport est basé sur des recherches internes et externes obtenues par divers moyens. Les informations fournies sont à titre de référence uniquement, et les utilisateurs sont entièrement responsables de leur utilisation. Hackitude décline toute responsabilité quant à l’exactitude ou aux conséquences de l’utilisation de cette information.