# HELLOKITTY Ransomware > Tipo: **ransomware C++** - S0617 - Vice Society - SonicWall CVEs - atacou empresa elétrica brasileira > [!high] Ransomware que Atacou Empresa Elétrica Brasileira - HELLOKITTY S0617 > **HELLOKITTY** é um ransomware em C++ ativo desde 2020, rastreado pelo MITRE como **S0617**. Pertence à família DEATHRANSOM/FIVEHANDS e foi utilizado pelo grupo **Vice Society** em múltiplos ataques de alto impacto. É notável por ter sido usado em ataque a uma **empresa de energia elétrica brasileira** e por explorar vulnerabilidades do SonicWall (CVE-2021-20016 e outros) como vetor de acesso inicial. Possui variantes para Linux e VMware ESXi, além da versão Windows. ## Visão Geral [[s0617-hellokitty-ransomware|HELLOKITTY]] é um ransomware de código fechado desenvolvido em C++, ativo desde 2020 e rastreado pelo MITRE ATT&CK como **S0617**. O malware é membro da família DEATHRANSOM/FIVEHANDS - uma linhagem de ransomwares que compartilham código e infraestrutura C2. O HELLOKITTY se tornou relevante na comunidade de threat intelligence por combinar **capacidades técnicas sofisticadas** (cifragem RSA-2048, suporte multiplataforma) com **alvos de alto perfil** incluindo uma empresa de distribuição de energia elétrica no Brasil. O grupo [[vice-society|Vice Society]], um dos grupos de ransomware mais ativos entre 2021 e 2023 com foco especial em **educação e saúde**, utilizou o HELLOKITTY como uma de suas ferramentas de cifragem. O grupo também ficou conhecido por um ataque de alto perfil ao estúdio de jogos polonês CD Projekt Red em fevereiro de 2021, onde reivindicou ter roubado o código-fonte do jogo Cyberpunk 2077 e outros títulos - tornando o HELLOKITTY amplamente conhecido na mídia de tecnologia e segurança. O HELLOKITTY explora vulnerabilidades no appliance VPN **SonicWall SMA 100** e **SSL-VPN** como vetor de acesso inicial ([[t1190-exploit-public-facing-application|T1190]]), incluindo CVE-2021-20016 (autenticação bypass) e CVE-2021-20028. O acesso via SonicWall comprometido elimina a necessidade de phishing e fornece acesso direto à rede interna. O ransomware também possui versões para **Linux** e **VMware ESXi**, permitindo cifrar não apenas estações Windows mas também servidores e máquinas virtuais. **Plataformas:** Windows, Linux, VMware ESXi ## Como Funciona 1. **Acesso via SonicWall:** Exploração de CVEs no SonicWall VPN/SSL ([[t1190-exploit-public-facing-application|T1190]]) ou via credenciais de acesso remoto comprometidas ([[t1133-external-remote-services|T1133]]). 2. **Reconhecimento:** Mapeia a rede, identifica sistemas críticos e enumera arquivos e diretórios ([[t1082-system-information-discovery|T1082]], [[t1083-file-and-directory-discovery|T1083]]). 3. **Preparação pré-cifragem:** Para serviços de banco de dados e backup ([[t1489-service-stop|T1489]]), desabilita Windows Defender e proteções de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]). 4. **Remoção de recuperação:** Elimina shadow copies e pontos de restauração ([[t1490-inhibit-system-recovery|T1490]]) via comandos CMD ([[t1059-003-windows-command-shell|T1059.003]]). 5. **Cifragem RSA-2048:** Cifra arquivos com criptografia RSA-2048 ([[t1486-data-encrypted-for-impact|T1486]]), adicionando extensão `.crypted` ou `.kitty` nos arquivos cifrados, e deposita nota de resgaté `read_me_unlock.txt`. ```mermaid graph TB A["Acesso via SonicWall CVE<br/>CVE-2021-20016 bypass auth<br/>T1190 + T1133 VPN"] --> B["Reconhecimento de Rede<br/>Mapeamento de ativos críticos<br/>T1082 + T1083"] B --> C["Para Serviços Críticos<br/>DB + backup + AV parados<br/>T1489 + T1562.001"] C --> D["Remove Recuperação<br/>Shadow copies excluídas<br/>T1490 - Sem rollback"] D --> E["Cifra Windows e Linux<br/>RSA-2048 + extensão crypted<br/>T1486 - Multiplataforma"] E --> F["VMware ESXi Variant<br/>VMs cifradas no hypervisor<br/>Impacto total infraestrutura"] classDef access fill:#c0392b,color:#fff classDef recon fill:#d35400,color:#fff classDef stop fill:#8e44ad,color:#fff classDef recovery fill:#16a085,color:#fff classDef encrypt fill:#2c3e50,color:#fff classDef vm fill:#922b21,color:#fff class A access class B recon class C stop class D recovery class E encrypt class F vm ``` ## Timeline ```mermaid timeline title HELLOKITTY - Ataques e Evolução 2020 : HELLOKITTY identificado - família DeathRansom : Primeiras amostras em C++ analisadas Fev 2021 : Ataque ao CD Projekt Red : Código-fonte Cyberpunk 2077 supostamente roubado 2021 : Exploração CVEs SonicWall como vetor primário : MITRE registra como S0617 2021 : Ataque a empresa elétrica brasileira : Vice Society usa HELLOKITTY contra Brasil 2022 : Variante Linux e VMware ESXi lançada : Expansão para infraestrutura de servidores 2023 : Vice Society transita para outros ransomwares : HELLOKITTY continua em uso por outros grupos ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de CVEs no SonicWall VPN | | Initial Access | [[t1133-external-remote-services\|T1133]] | Acesso via VPN/RDP comprometido | | Discovery | [[t1082-system-information-discovery\|T1082]] | Perfil do sistema e rede | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Mapeamento de arquivos e diretórios | | Execution | [[t1059-003-windows-command-shell\|T1059.003]] | Comandos CMD para preparação | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativação de proteções de segurança | | Impact | [[t1489-service-stop\|T1489]] | Parada de serviços críticos | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Eliminação de shadow copies | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Cifragem RSA-2048 multiplataforma | ## Relevância LATAM/Brasil O [[s0617-hellokitty-ransomware|HELLOKITTY]] tem relevância direta para o Brasil: o grupo [[vice-society|Vice Society]] utilizou o ransomware em ataque a uma **empresa de distribuição de energia elétrica brasileira**. Este caso é significativo pois demonstra que o setor de energia - considerado infraestrutura crítica - está no radar de grupos de ransomware internacionais com capacidades técnicas avançadas. O setor de [[energy|energia]] brasileiro é particularmente vulnerável porque opera com uma mistura de sistemas legados e tecnologia moderna, frequentemente com exposição de acesso remoto (RDP, VPN) à internet para manutenção de ativos distribuídos geograficamente. A exploração de vulnerabilidades no SonicWall é especialmente relevante no contexto brasileiro, onde o appliance é amplamente utilizado por empresas de médio e grande porte como solução de VPN corporativa. O ataque ao CD Projekt Red ganhou cobertura internacional massiva, elevando o perfil do HELLOKITTY e potencialmente atraindo affiliates adicionais. Empresas brasileiras dos setores de [[energy|energia]], [[education|educação]] e saúde - alvos favoritos do [[vice-society|Vice Society]] - devem priorizar a aplicação de patches em dispositivos SonicWall e o monitoramento de acesso remoto. **Setores impactados:** [[energy|energia]] - [[education|educação]] - saúde - [[technology|tecnologia]] - jogos digitais ## Detecção - Aplicar imediatamente patches para CVE-2021-20016, CVE-2021-20028 e outros CVEs do SonicWall SMA 100 - Monitorar acesso VPN de IPs não reconhecidos, especialmente fora do horário comercial - Detectar parada em massa de serviços via `sc stop` ou `net stop` em curto intervalo de tempo - Alertar para criação de arquivos com extensão `.crypted`, `.kitty` ou `read_me_unlock.txt` em múltiplas pastas - Implementar monitoramento de VMs ESXi para cifragem de vmdk de origem de processo não reconhecido - Manter patches atualizados em todos os appliances de acesso remoto (VPN, SSL, RDP Gateway) ## Referências - [1](https://attack.mitre.org/software/S0617/) MITRE ATT&CK - S0617 HELLOKITTY (2023) - [2](https://www.crowdstrike.com/blog/hellokitty-ransomware-threat-analysis/) CrowdStrike - HELLOKITTY Ransomware Technical Analysis (2021) - [3](https://www.mandiant.com/resources/blog/unhappy-hour-fivehands-ransomware) Mandiant - FiveHands HELLOKITTY Family Analysis (2021) - [4](https://unit42.paloaltonetworks.com/hello-kitty-ransomware/) Unit 42 - HelloKitty Ransomware and Vice Society (2022) - [5](https://www.bleepingcomputer.com/news/security/cd-projekt-red-hacked-source-code-for-cyberpunk-2077-witcher-3-stolen/) BleepingComputer - CD Projekt Red HELLOKITTY Attack (2021)