Los archivos robados de CD Projekt Red (CPR) en un ataque ransomware revelado por el 11 de febrero del presente aรฑo, presumiblemente, han sido vendidos en una subasta dentro de la Dark Web.
KELA (organizaciรณn dedicada a la seguridad de la informaciรณn) informa, por medio de sus redes, que se llevรณ a cabo una subasta para vender los archivos de CPR, donde pudo realizarse una ยซoferta satisfactoriaยป. Segรบn los informes, la oferta estipula que el cรณdigo no se distribuirรก ni venderรก a un tercero como acuerdo mutuo.
Just in: #CDProjektRed AUCTION IS CLOSED. #Hackers auctioned off stolen source code for the #RedEngine and #CDPR game releases, and have just announced that a satisfying offer from outside the forum was received, with the condition of no further distribution or selling. pic.twitter.com/4Z2zoZlkV6
— KELA (@Intel_by_KELA) February 11, 2021
Exclusiva con IGN sobre los archivos robados
En exclusiva para IGN, Victoria Kivilevich (VK), analista de inteligencia por parte de KELA; relato que ยซparece que los archivos robados -los cuales incluyen el cรณdigo fuente de Cyberpunk 2077, mรบltiples versiones de The Witcher 3 y Gwent– se vendieron en un solo paqueteยป.
Tampoco estรก claro a quรฉ precio se vendieron dichos archivos, se especula que la compra inicial serรญa por la cantidad de US$ 7 millones. VK proporcionรณ a IGN una captura de pantalla traducida de un foro separado, XSS (con fecha del 10 de febrero), en el que el supuesto vendedor, requiriรณ que CPR se contactara en 48hrs para pagar y asรญ no revelar los datos confidenciales de dichos archivos. CPR pรบblicamente manifestรณ que no pagarรญa por ningรบn rescate.
El ataque perpetrado por ‘HelloKitty’
En una nota publicada por el portal The Verge; se explica que la subasta requerรญa un depรณsito mรญnimo por participante, con ofertas que rondaban los US$ 1,000,000.00 con incrementos de $ 500,000.00. Dentro de la publicaciรณn se informa que de igual forma se habรญa publicado el cรณdigo fuente de Gwent, lo que podrรญa haber sido otra prueba de que los archivos estaban disponibles antes de la subasta.
El portal Techradar cita expeditamente a Fabian Wosar (CTO en la firma anti-malware Emsisoft) el cual tiene la hipรณtesis que el grupo HelloKitty estรฉ detrรกs del ataque.
Explicando que el malware HelloKitty deshabilita varios procesos y servicios antes de encriptar los archivos dentro del dispositivo de la vรญctima. Por lo general, la nota de rescate que acompaรฑa a este ataque se titula ยซread_me_unlock.txtยป, que es el mismo nombre de archivo que expone CPR.
The amount of people that are thinking this was done by a disgruntled gamer is laughable. Judging by the ransom note that was shared, this was done by a ransomware group we track as "HelloKitty". This has nothing to do with disgruntled gamers and is just your average ransomware. https://t.co/RYJOxWc5mZ
— Fabian Wosar (@fwosar) February 9, 2021
