Skip to content
CBCyber Breaches
Recherche
RançongicielContenu

Rançongiciel HelloKitty et vol de code source chez CD Projekt Red (2021)

Le rançongiciel HelloKitty a chiffré des appareils de CD Projekt Red et exfiltré le code source de Cyberpunk 2077, The Witcher 3, Gwent et d'une version inédite de The Witcher 3. CDPR a refusé de payer ; les données ont été vendues aux enchères et auraient été cédées à un acheteur privé.

Victime
CD Projekt Red
SecteurTechnologie
PaysPologne
GroupeHelloKitty

Le 9 février 2021, le studio polonais CD Projekt Red — développeur de Cyberpunk 2077 et de The Witcher 3 — a divulgué une attaque par rançongiciel attribuée par la suite à la famille HelloKitty. La note laissée sur les machines chiffrées affirmait que les attaquants avaient dérobé le code source des plus gros jeux du studio, plus des documents RH et financiers, et exigeait une rançon en échange de la non-publication.

Ce qui s'est passé

Les attaquants ont obtenu l'accès au réseau interne de CDPR et ont chiffré certains appareils. Les revendications spécifiques de la note de rançon — sources de Cyberpunk 2077, The Witcher 3, Gwent et d'une version inédite de Witcher 3 — combinées à des registres internes d'entreprise, constituaient une menace de fuite à enjeu inhabituellement élevé pour un studio de développement.

La réponse publique de CDPR, publiée dans les 24 heures, est devenue une étude de cas de comment refuser une rançon : confirmer les faits, refuser de payer et s'engager dans la restauration depuis des sauvegardes. Les chercheurs en sécurité, en examinant les artefacts de la note de rançon et les extensions de fichiers chiffrés, ont identifié la famille de logiciels malveillants comme HelloKitty (coïncidence sans rapport avec la marque grand public bien connue).

En quelques semaines, un acteur malveillant utilisant le pseudonyme redengine a mis les données dérobées de CDPR en vente aux enchères sur un forum de pirates. L'enchère a ensuite été clôturée avec une déclaration affirmant que les données avaient été vendues à un acheteur « en dehors du forum » sous conditions de non-redistribution — bien qu'aucune preuve technique de la vente n'ait été publiée, et que les chercheurs en sécurité soient restés sceptiques.

Impact

  • Code source de quatre jeux majeurs (publiés et inédits) revendiqué comme dérobé.
  • Documents RH et financiers également revendiqués comme exfiltrés.
  • CDPR a refusé de payer la rançon.
  • Données dérobées vendues aux enchères et cédées à un acheteur privé.
  • Aucune perturbation sécuritaire ou opérationnelle des jeux en ligne de CDPR au-delà du travail de reprise informatique.

Pourquoi cela compte

CD Projekt Red a posé l'un des premiers exemples de haut profil montrant comment refuser une rançon de studio de jeux sans perdre l'entreprise : confirmer publiquement la brèche en une journée, nommer les catégories d'actifs à risque, refuser de payer et restaurer depuis les sauvegardes. Le cas a aussi préfiguré un schéma désormais courant — la propriété intellectuelle dérobée est monétisée via des enchères clandestines, que la victime initiale paie ou non.

Chronologie

  1. CD Projekt confirme via Twitter qu'un acteur non identifié a obtenu l'accès à son réseau interne, chiffré des appareils et dérobé des données. La note de rançon revendique le vol du code source de Cyberpunk 2077, The Witcher 3, Gwent et d'une version inédite de Witcher 3, et menace de publier des documents RH et financiers.

  2. CDPR refuse publiquement de payer la rançon et confirme qu'il rétablira à partir de sauvegardes ; les chercheurs identifient la famille de logiciels malveillants comme HelloKitty.

  3. Un acteur malveillant nommé « redengine » met les données dérobées de CDPR en vente aux enchères sur un forum de pirates.

  4. L'enchère se clôture ; le vendeur affirme que les données ont été vendues à un acheteur « en dehors du forum » sous conditions exigeant qu'il cesse de les distribuer. Aucune preuve technique de la vente n'a été publiée.

Sources

  1. techcrunch.comhttps://techcrunch.com/2021/02/09/cd-projekt-red-hit-by-ransomware-attack-refuses-to-pay-ransom/
  2. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/cd-projekts-stolen-source-code-allegedly-sold-by-ransomware-gang/
  3. emsisoft.comhttps://www.emsisoft.com/en/blog/37783/hellokitty-ransomware-group-likely-responsible-for-cd-projekt-attack-heres-why/
  4. infosecinstitute.comhttps://www.infosecinstitute.com/resources/malware-analysis/hellokitty-the-ransomware-affecting-cd-projekt-red-and-cyberpunk-2077/

Incidents liés

RançongicielContenu

Rançongiciel « Death Kitty » contre Transnet (Afrique du Sud, 2021)

Une attaque par rançongiciel contre Transnet, l'entreprise logistique publique sud-africaine, a paralysé les opérations des terminaux à conteneurs de Durban, Ngqura, Port Elizabeth et Le Cap, contraignant l'opérateur à déclarer la force majeure. Durban — 60 % du trafic conteneurisé d'Afrique australe — est revenu à un dédouanement papier pendant une semaine.

Victim
Transnet SOC (opérateur public de fret et de ports)
RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)
RançongicielRançon payée

Rançongiciel BlackSuit contre CDK Global (2024)

Les opérateurs de BlackSuit ont chiffré la plateforme de gestion des concessionnaires de CDK Global, mettant hors ligne environ 15 000 concessionnaires automobiles nord-américains pendant près de deux semaines. Une seconde attaque a frappé dès le deuxième jour de la reprise. Les pertes pour le secteur sont estimées à plus d'un milliard de dollars ; CDK aurait versé une rançon de 25 millions de dollars.

Victim
CDK Global
Loss
$1.00B