Ушла без следа — вернулась без предупреждения: HelloKitty снова атакует инфраструктуру

Исследователи компании The Raven File зафиксировали новую активность программы-вымогателя HelloKitty, которая теперь атакует не только Windows, но и Linux-системы, включая виртуальные среды ESXi. Впервые замеченная в 2020 году, программа была форком DeathRansom, но с тех пор значительно изменилась как по архитектуре, так и по методам работы.

Современные образцы HelloKitty используют встроенный публичный ключ RSA-2048, который хэшируется через SHA256 для генерации уникального идентификатора жертвы. Для каждого зашифрованного файла используется 32-байтное значение, полученное на основе временной метки процессора. Сначала включается шифрование с помощью алгоритма Salsa20, а затем — AES. Итоговые файлы получают расширения вроде CRYPTED, CRYPT или KITTY и метаданные, содержащие зашифрованный RSA размер файла, ключ и «магическое» значение для расшифровки.

Некоторые варианты используют альтернативные схемы, например, шифрование на базе NTRU, что указывает на быструю адаптацию вредоносного кода под новые криптографические подходы. Ранее атаки были сосредоточены преимущественно на Windows, но с июля 2021 года появился и вариант для Linux/ESXi, что значительно расширило поле действия группировки.

Интерес вызывает и география появления новых образцов. Последние находки связаны с Китаем — на это указывает язык во внутренних файлах, IP-адреса загрузки и даже упоминания китайских сервисов вроде QQ и SkyCN. При этом официальные отчёты ранее связывали деятельность группы с Украиной, что создаёт путаницу и может указывать либо на запутывание следов, либо на мультинациональный состав злоумышленников.

Сравнение техник заражения между 2020 и 2024 годами демонстрирует заметный прогресс. Если ранние версии сосредотачивались на базовых действиях — удалении теневых копий, завершении процессов и внедрении в систему, — то новые образцы более избирательны и осторожны. Злоумышленники теперь активно исследуют окружение, изучают реестр и характеристики системы, при этом избегают старых техник, которые легко обнаруживаются современными средствами защиты.

Среди пострадавших от HelloKitty — не только компании, но и критически важные объекты. Так, в декабре 2020 года вирус затронул бразильскую электростанцию CEMIG, а в феврале 2021 года была атакована польская студия CD Projekt Red. В дальнейшем были зафиксированы случаи заражения медицинских учреждений в Великобритании и ИТ-компаний во Франции.

HelloKitty активно использовался не одной группой, а стал своего рода универсальным инструментом, который применяли такие известные акторы, как Vice Society, UNC2447, Lapsus$ и Yanluowang. Это делает его важным элементом в экосистеме RaaS (вымогательство как услуга).

Хотя на данный момент не обнаружено активных сайтов HelloKitty с утечками данных, новая версия, загруженная из Китая и частично совпадающая по коду с RingQ Malware, может указывать на перезапуск инфраструктуры. Отсутствие onion-ссылок говорит о том, что группа либо ещё не завершила подготовку, либо намеренно действует скрытно.

Возвращение HelloKitty с обновлёнными механизмами шифрования, мультиплатформенной архитектурой и неочевидным происхождением создаёт дополнительную головную боль для специалистов по кибербезопасности. Группировка быстро учится на прошлых ошибках и адаптируется под защитные механизмы, что делает её одним из самых живучих представителей класса программ-вымогателей.