Expertos de ciberseguridad han advertido sobre el retorno del ransomware HelloKitty, con nuevas variantes que se han marcado como objetivos entornos Windows, Linux y ESXi simultáneamente.
Desde el pasado mes de septiembre los investigadores han detectado al menos 11 muestras nuevas de Akira, lo cual pone de manifiesto un resurgimiento de su actividad.
Los investigadores de THE RAVEN FILE han identificado que las últimas variantes de HelloKitty muestran un patrón inusual de dispersión geográfica, con muchas muestras subidas inicialmente desde direcciones IP chinas, a pesar de que anteriormente se había atribuido la operación a Ucrania.
Estos expertos han llevado a cabo un estudio exhaustivo de un año de distintas muestras, llegando a la conclusión de que HelloKitty ha experimentado modificaciones técnicas significativas, aunque mantiene su característico método de cifrado.
Este último consiste en añadir extensiones como “CRYPTED”, “CRYPT” o “KITTY” a los datos comprometidos.
Cinco años de amenaza felina
El malware apareció por primera vez en 2020 y desde entonces ha evolucionado para extenderse a más sectores, más allá de los videojuegos o el ámbito de la salud. En la Navidad de ese mismo año se caracterizó por una campaña navideña con algunas similitudes como el ransomware FiveHands.
En 2021 la operación se atribuyó un ciberataque a CD Projekt, el estudio tras juegos como Thronebreaker: The Witcher Tales, Cyberpunk 2077 y The Witcher 3. Los ciberdelincuentes vendieron el código fuente de estos títulos al mejor postor.
No obstante, la campaña más reciente se ha dado en febrero, lo que evidencia que sus operadores están muy activos.
A diferencia de muchas familias de ransomware que muestran de forma destacada su marca, HelloKitty personaliza las notas de rescate, dirigiéndose directamente a las víctimas por su nombre, lo que crea un enfoque de extorsión más personalizado.