Ransomware HelloKitty: Mối Đe Dọa Tinh Vi Trên Mạng

14/04/2025
2 mins read


1. Sự trở lại của Ransomware HelloKitty:
Ransomware HelloKitty đã trở lại, nhắm vào nhiều môi trường bao gồm hệ thống Windows, Linux và ESXi.

2. Cải tiến kỹ thuật:
Ransomware này đã trải qua những thay đổi kỹ thuật đáng kể, duy trì phương pháp mã hóa đặc trưng của nó. Nó sử dụng các phương pháp mã hóa khác nhau tùy thuộc vào môi trường mục tiêu:
– Trên hệ thống Windows, nó sử dụng kết hợp mã hóa AES-128 và NTRU.
– Trên môi trường Linux, nó sử dụng AES-256 kết hợp với mật mã ECDH.

3. Quy trình mã hóa:
Quy trình mã hóa bao gồm việc tạo ra một giá trị hạt giống 32 byte được lấy từ dấu thời gian của CPU, sau đó tạo ra một khóa Salsa20 để mã hóa một giá trị hạt giống thứ hai 32 byte. Các giá trị này trải qua các phép toán XOR để tạo ra khóa 32 byte cuối cùng sẽ điều khiển mã hóa tệp AES.

4. Cách tiếp cận tống tiền cá nhân hóa:
Khác với nhiều gia đình ransomware, HelloKitty tùy chỉnh các ghi chú tống tiền để trực tiếp gọi tên nạn nhân, tạo ra một cách tiếp cận tống tiền cá nhân hóa hơn.

5. Phân bố địa lý:
Các biến thể mới nhất thể hiện một mô hình phân bố địa lý bất thường, với nhiều mẫu ban đầu được tải lên từ địa chỉ IP của Trung Quốc mặc dù trước đây đã có các gợi ý liên kết hoạt động này với Ukraine.

6. Các lô hoạt động:
Ransomware này đã thể hiện sự bền bỉ qua nhiều năm, với bằng chứng về ba lô hoạt động khác nhau: triển khai gốc năm 2020, một lô vào dịp Giáng sinh năm 2020 có đặc điểm giống với ransomware FiveHands và các biến thể mới nhất năm 2024 cho thấy khả năng được cải thiện.

7. Nỗ lực phát triển liên tục:
Các nhà phân tích bảo mật đã phát hiện ra các biến thể mới tiềm năng vào tháng 2 năm 2025, cho thấy những nỗ lực phát triển liên tục ngay cả khi hạ tầng chỉ huy và kiểm soát cũ đã biến mất khỏi web sâu.

8. Hợp tác với các tác nhân đe dọa khác:
Ransomware HelloKitty là một phần của bức tranh đe dọa rộng lớn hơn, với sự hợp tác giữa các tác nhân đe dọa khác như EvilCorp và RansomHub.

Những điểm này làm nổi bật bản chất tinh vi của ransomware HelloKitty và khả năng thích ứng cũng như phát triển của nó theo thời gian, tạo nên một mối đe dọa đáng kể trong bối cảnh an ninh mạng.