Plus tôt cette semaine, CD Projekt RED annonçait avoir été victime d'une cyberattaque. Des données sensibles auraient été volées à la firme polonaise spécialisée dans le jeu vidéo. Et nous en apprenons désormais un peu plus sur les potentiels agresseurs.
Si son nom peut faire sourire, le ransomware est pour le moins redoutable, reposant sur une technique bien rodée.
Publicité
Publicité
Rien à voir avec le gentil petit chat
Ce mardi 9 février 2021, CD Projekt publiait un communiqué sur les réseaux sociaux pour immédiatement informer ses collaborateurs et les joueurs qu'une cyberattaque venait d'être perpétrée sur ses serveurs. Au cours de la manœuvre, les codes source de Cyberpunk 2077, Gwent, The Witcher 3 et d'une version encore non commercialisée des dernières aventures du sorceleur auraient été subtilisés. Des documents (administratifs, financiers…) internes à la compagnie feraient également partie du butin des hackers.
S'il reste encore de nombreuses zones d'ombre sur cette affaire, nous connaissons peut-être l'identité du ransomware. Si nous en croyons les détails fournis par Fabian Wosar, c'est le logiciel de rançon HelloKitty qui serait à l'origine des méfaits impactant CD Projekt en ce moment. Celui-ci est sur le marché depuis novembre 2020 et compte parmi ses victimes la société d'électricité brésilienne Cemig, touchée l'année dernière.
Publicité
Publicité
Un processus bien précis
Le site BleepingComputer, qui a eu accès à des informations fournies par une ancienne victime du ransomware, nous explique son fonctionnement. Lorsque l'exécutable du logiciel est lancé, HelloKitty commence à opérer par l'intermédiaire d'un mutex intitulé HelloKittyMutex. Une fois opérationnel, il procède à la fermeture de tous les processus associés à la sécurité du système, mais aussi aux serveurs email ou encore aux logiciels de sauvegarde.
HelloKitty est capable de viser plus de 1 400 processus et services Windows différents grâce à l'utilisation d'une simple commande. Le cryptage des données peut alors débuter sur l'ordinateur visé, en ajoutant aux fichiers la mention « .crypted ». De plus, si jamais le ransomware rencontre de la résistance sur un élément verrouillé, il se sert de l'API Windows Restart Manager pour directement arrêter le processus. Enfin, un petit message personnalisé est laissé à la victime.
Publicité
Publicité
Des fichiers déjà en ligne ?
D'entrée de jeu, CD Projekt avait exprimé son souhait de ne pas négocier avec les hackers pour récupérer les données volées. Sur le forum de hacking Exploit, vx-underground a remarqué que le code source de Gwent était déjà en vente. Le dossier de téléchargement hébergé par Mega n'est pas resté accessible bien longtemps puisque le site d'hébergement ainsi que les forums (comme 4Chan) ont rapidement supprimé les threads.
Les premiers échantillons des codes source pour les jeux de CD Projekt affichaient une offre de départ fixée à 1 000$. Si la vente est entérinée, nous pouvons imaginer que les prix s’envoleront. Enfin, le studio polonais recommande à ses anciens employés de prendre toutes les précautions nécessaires même s'il n'y a pour l'instant aucune preuve concernant le vol de données personnelles au sein des équipes de la firme.
Sources : Tom's Hardware, BleepingComputer
