HelloKitty Ransomware tilføjer DDoS-angreb til afpresningstaktikken, siger FBI

Det amerikanske Federal Bureau of Investigation (FBI) oplyser nu, at HelloKitty ransomware banden (alias FiveHands) har tilføjet distribueret denial-of-service (DDoS) angreb til deres arsenal af afpresningstaktiker. Det forventes at dem som ikke anvender DDOS vil anvende dette allerede denne vinter. Dermed kan man blive udsat for DDOS angreb til at aflede opmærksomheden, mens der hackes. DDOS angreb vil dog blive en standard i 2022 spår vi.

I en fredag kom meddelelsen koordineret med Cybersikkerhed og Infrastruktur Security Agency (CISA), hvor FBI sagde, at ransomware gruppe ville tage deres ofres officielle hjemmesider ned i DDoS angreb, hvis de ikke overholder løsesum krav.

DDOS kan sætte alle funktioner i virksomheden ud af spil, selv printere og routere og dermed Internetadgangen

Det er dog ikke kun netadgangen det kan gå udover… Også hjemmesider der bliver utilgængelige under et angreb, det kan også være Mailservere, Webshops, Printere og FTP servere. DDOS angreb kan i dag udføres af enhver og det er vigtigt at vide hvordan man kan sikre sig.

HelloKitty taktik

HelloKitty Ransomware er kendt for at stjæle følsomme dokumenter fra ofrenes kompromitterede servere, før de krypterer dem. Disse filer bruges senere som løftestang til at presse ofrene til at betale løsesummen under trussel om at lække de stjålne data online på f.eks. Darknet. Man får en smagsprøve så man kan genkende data og hvis man ikke betaler publiseres det hele i hævn. Ofter er sikkerhedssoftware deaktiveret og backupper slettet. Det hele kan ske på få minutter.

“I nogle tilfælde, hvis offeret ikke reagerer hurtigt eller ikke betaler løsesummen, truslen aktører vil lancere en Distributed Denial of Service (DDoS) angreb på offeret selskabets offentlige vender hjemmeside,” og “Hello Kitty / FiveHands aktørene kræver varierende løsesum betalinger i Bitcoin (BTC), der synes at være skræddersyet til hvert offer, i overensstemmelse med deres vurderede evne til at betale det beløb. Hvis ingen løsesum er betalt, vil aktørerne sende offerets data til xxxx (adressen fjernet af mig), eller sælge det til en tredjepart data mægler.”

Dette skriver FBI i sin meddelelse

Gruppens Ransomware operatører vil bruge flere metoder til at bryde målenes netværk, herunder kompromitterede legitimationsoplysninger og nyligt lappet sikkerhedshuller i SonicWall produkter (Dette er sikkerhedshullerne f.eks CVE-2021-20016, CVE-2021-20021, CVE-2021-2021-20022, CVE-2021-2002).

Hvem er HelloKitty?

HelloKity er en menneskedrevet Ransomware operation der har været aktiv siden november, men blev først observeret af FBI i januar 2021.

Banden er primært kendt for at bryde ind i og kryptere systemerne i CD Projekt RED i februar og de hævder at have stjålet Cyberpunk 2077, Witcher 3, Gwent og andre spils kildekode.

HelloKitty hævdede senere, at nogen havde købt de filer, der blev sthålet, selvom det aldrig blev bekræftet.

Siden midten af juli 2021, har gruppen rettet blikket mod Linux servere og bl.a. udnyttet en meget stort sikkerhedshul i VMWARE ESXi som er virtuel server platform.

De er blot en af de mange ransomware bander rettet mod Linux-servere efter virksomhedens mål er migreret til at bruge virtuelle maskiner til mere effektiv brug af ressourcer og lettere enhedsadministration.

Ved at målrette deres virtuelle maskiner, kan ransomware operatøren nu kryptere flere servere samtidigt, med en enkelt kommando, det sparer tid og kræfter, selvom de fleste angreb er målrettet, så kører det automatisk, når scanninger m.v. kører.

Baseret på indlæg fra deres ofre på ID Ransomware-platformen øgede HelloKitty sin aktivitet betydeligt i juli og august, umiddelbart efter at de begyndte at bruge Linux-varianten i angrebene.

HelloKitty ransomware eller dens varianter er også blevet brugt under andre navne, herunder DeathRansom og FiveHands.

FBI delte også en omfattende samling af indikatorer for kompromis (IOC’ er) i deres advarsel for at hjælpe cybersikkerheds fagfolk og systemadministratorer til at beskytte mod angreb forsøg koordineret af HelloKitty ransomware banden.