Noua Versiune HelloKitty Ransomware Țintește Windows, Linux și Servere ESXi

În acest material o să discutăm despre o versiune populară de ransomware, numită HelloKitty. Chiar dacă, judecând după nume, această amenințare cibernetică pare inofensivă, vă garantăm că nu este deloc așa.

În aprilie 2025, specialiștii în securitate cibernetică au confirmat revenirea ransomware-ului HelloKitty, un malware cunoscut pentru atacurile agresive asupra companiilor și infrastructurilor critice.

După o perioadă relativ liniștită, această familie de ransomware a fost observată lansând atacuri noi, folosind tehnici avansate de criptare, țintind sisteme Windows, Linux și medii virtualizate ESXi.

Ce este HelloKitty Ransomware

HelloKitty a apărut pentru prima dată în octombrie 2020 ca o variantă derivată, modificată, a ransomware-ului DeathRansom.

De-a lungul timpului, acesta a fost responsabil pentru atacuri asupra unor organizații de renume, inclusiv studioul de jocuri polonez CD PROJEKT RED, cunoscut pentru titluri ca The Witcher și Cyberpunk 2077.

În esență, HelloKitty criptează fișierele victimelor și lasă o notă de răscumpărare prin care cere bani în schimbul cheilor de decriptare, amenințând cu publicarea datelor furate în caz de refuz, ca oricare alt ransomware.

HelloKitty pe Linux și ESXi: O amenințare tot mai serioasă

În trecut, HelloKitty ransomware infecta în mare parte servere Windows, dar acum pare că hackerii i-au extins capabilitățile.

Una dintre cele mai îngrijorătoare evoluții ale acestui ransomware este faptul că atacatorii au dezvoltat versiuni dedicate pentru sisteme Linux și pentru serverele virtualizate ESXi, platforme utilizate frecvent în companii și infrastructuri cloud.

Versiunile Linux și ESXi ale HelloKitty sunt concepute pentru a ataca direct medii de producție virtualizate — în special mașinile VMware — și reușesc să cripteze rapid volume întregi de date. Acest tip de atac este extrem de periculos, deoarece afectează mai multe mașini virtuale odată, compromițând întreaga infrastructură într-un singur pas.

Câteva caracteristici specifice versiunilor Linux și ESXi:

• Lipsa interfeței grafice: Malware-ul este rulat prin linia de comandă și poate fi ușor automatizat de către atacatori.
• Scanare și criptare rapidă: HelloKitty caută fișiere importante pe discuri montate și criptează directoare întregi, fără a lăsa fișiere de sistem sau executabile intacte.
• Personalizare pentru servere: Versiunile pentru ESXi sunt adaptate pentru a funcționa fără probleme în medii virtuale, atacând fișiere VMDK (Virtual Machine Disk) și alte componente VMware.
• Extindere laterală: Pe Linux, malware-ul poate fi utilizat împreună cu scripturi suplimentare pentru a exploata permisiuni greșite și pentru a escalada privilegiile, având acces rapid la volume NFS, SMB sau partajări de rețea.

Aceste tactici indică o mutare clară a grupurilor de atacatori de la utilizatori obișnuiți și stații de lucru către servere și infrastructură critică — acolo unde impactul financiar și operațional este semnificativ mai mare.

Tactici, Tehnici și Proceduri (TTPs) în evoluție

Din punct de vedere al tehnologiei, comparativ cu versiunile trecute, HelloKitty ransomware a evoluat semnificativ:

• Utilizează criptare hibridă AES + Salsa20 + RSA.
• Integrează tehnici de antiforensic prin ștergerea fișierelor temporare și logurilor.
• Evită soluțiile EDR și antivirus prin tehnici de obfuscare și control al proceselor.
• Pe Linux și ESXi, atacurile se bazează pe shell scripturi simple, dar eficiente, pentru criptare în masă și automatizare.

Cum securizam infrastructura impotriva ransomware

Pentru a proteja infrastructura companiei de ransomware și de alte amenințări cibernetice precum trojan horse, spyware, adware, scareware, rootkit și fileless malware, este important să se implementeze câteva măsuri de bază:

• Antivirus cu firewall integrat — O soluție completă poate bloca ransomware-ul si alte tipuri de amenintari cibernetice;
• Firewall hardware dedicat — Oferă protecție suplimentară la nivel de rețea împotriva atacurilor externe;
• Backup regulat și backup în cloud — Asigură recuperarea rapidă a datelor;
• Actualizări constante de software și aplicații — Patching-ul reduce riscul ca vulnerabilitățile cunoscute să fie exploatate de malware;
• Înlocuirea echipamentelor înainte de EOL — Dispozitivele fără suport devin rapid ținte pentru atacuri și rețele de boți;
• Protecția serverelor Linux — Include actualizări de sistem, firewall configurat corect, permisiuni restrictive și un antivirus dedicat;
• Aplicații din surse sigure — Evitați software-ul descărcat din surse necunoscute pentru a preveni infectarea cu malware ascuns;
• Instruirea angajaților — Educația continuă ajută la recunoașterea phishing-ului, a linkurilor periculoase și la reacții rapide în fața tentativelor de atac.

Aceste măsuri nu doar reduc riscul de atac, ci și limitează impactul în cazul în care un incident de securitate apare.

Concluzie

Întrucât amenințările cibernetice evoluează și se modifică în fiecare zi, de regulă, „cot la cot” cu progresele tehnologice, este foarte bine să rămânem vigilenți, când vine vorba de securitate informatică.

Adoptarea unor măsuri preventive solide și educarea constantă a utilizatorilor sunt elemente esențiale pentru a reduce expunerea la riscuri și pentru a reacționa rapid în fața atacurilor.

Dacă aveți nevoie de ajutor pentru implementarea securității în companie, vă stăm la dispoziție.

Zemernett este o companie de externalizare IT care reușește cu succes atât să susțină buna funcționare a infrastructurilor, cât și să implementeze soluții tehnice moderne, punând activ umărul la dezvoltarea IT a companiilor client.