Atak ransomware na CD Projekt
Z informacji podanych przez CD Projekt w mediach społecznościowych wynika, że firma padła ofiarą potężnego ataku ransomware. Łupem hakerów padły nie tylko wewnętrzne dokumenty firmy, ale i kod źródłowy Cyberpunka 2077, karcianego Gwinta i kultowego Wiedźmina 3. Ponadto atakujący zaszyfrowali część serwerów firmy (gdzie znajdowały się plików z serwerów administracyjnych, działu HR, księgowości, zarządu i relacji inwestorskich), jednak skalę i konsekwencje ataku trudno na ten moment ocenić.
Jak doszło do ataku na CD Projekt?
Nie ma pewności, w jaki sposób atakującym udało się pokonać zabezpieczenia i zdobyć dostęp do serwerów, jednak nieautoryzowany dostęp do wewnętrznej sieci studia może świadczyć o przejęciu danych uwierzytelniających, np. na skutek phishingu. Najprawdopodobniej CD Projekt został zaatakowany przez gang ransomware HelloKitty, który przeprowadza ukierunkowane cyberataki na duże podmioty. Ofiarą tego szerzej nieznanego ransomware padła w zeszłym roku m.in. brazylijska firma energetyczna CEMIG.
Jak działa ransomware HelloKitty? Atak jest niezwykle trudny do wykrycia. Napastnicy omijają protokoły bezpieczeństwa umieszczając złośliwe oprogramowanie w systemach firmy. Ransomware HelloKitty obejmuje ponad 1400 procesów i usług systemu Windows, a to pozwala na zakończenie procesów związanych z oprogramowaniem zabezpieczającym, serwerami baz danych czy oprogramowaniem do tworzenia kopii zapasowych. Po zamknięciu różnych docelowych procesów i usług ransomware rozpoczyna szyfrowanie plików na komputerze.
Nowy modus operandi cyberprzestępców
Od miesięcy podkreślamy, że hakerzy wprawdzie dalej najczęściej atakują swoje ofiary za pomocą oprogramowania ransomware, jednak zmienili swój sposób działania. Coraz więcej firm regularnie wykonuje kopie zapasowe, tak więc samo zaszyfrowanie plików może co najwyżej grozić przestojem spowodowanym odzyskiwaniem danych, stąd cyberprzestępcy zaczęli grozić swoim ofiarom opublikowaniem skradzionych plików lub atakiem DDoS, chyba że okup zostanie zapłacony. Taki sposób działania atakujący przyjęli również wobec CD Projekt, oszuści zagrozili firmie publikacją skradzionych dokumentów w sieci, jeśli nie zapłacą okupu w ciągu 48 godzin.
Okup za odszyfrowanie plików - płacić czy nie płacić?
Pomimo groźby wycieku danych CD Projekt zapowiedział, że nie zapłaci okupu cyberprzestępcom. W świecie pustych komunikatów prasowych i firm potajemnie płacących przestępcom ogromne kwoty za odzyskanie danych, postawa polskiego studia gier zasługuje na uznanie, gdyż spełnianie żądań atakujących tylko potęguje problem. Pamiętaj, zapłata okupu nie gwarantuje Twojej firmie odzyskania jakichkolwiek danych, a zapłacenie okupu tylko zachęca sprawców do atakowania większej liczby ofiar. Niestety szybki zysk i niewielka wykrywalność osób stojących za atakami zachęca coraz więcej osób do podejmowania tego typu nielegalnej działalności.
Nie negocjuj z hakerem - każdy incydent zgłoś organom ścigania
Z notatki, którą cyberprzestępcy pozostawili CD Projekt wynika, że opublikują skradzione dane, jeśli firma nie zapłaci okupu w ciągu 48 godzin, czy oszuści mogą jednak blefować? Większość przedsiębiorstw obawia się, że informacja o ataku podważy zaufanie do firmy, musimy jednak pamiętać, że głównym celem atakujących jest uzyskanie jak najwyższej kwoty okupu, stąd groźby hakerów mogą być jedynie elementem negocjacji, które mają zmusić ofiarę do zapłaty. Tutaj CD Projekt działał wzorowo – błyskawiczna i przejrzysta komunikacja, decyzja o niezapłaceniu okupu cyberprzestępcom, wreszcie zgłoszenie incydentu organom ścigania i UODO, to doskonały przykład na to, jak firma powinna reagować po skutecznie przeprowadzonym ataku.
Backup i co dalej?
Regularne wykonywanie kopii zapasowych może nas uchronić przed koniecznością zapłaty okupu i paraliżem działalności. CD Projekt poinformował w oficjalnym oświadczeniu, że skutecznie przywraca dane właśnie z backupu, stąd tak ważne jest wprowadzenie wewnętrznych procedur dot. wykonywania kopii zapasowych i działania w przypadku skutecznego ataku. Efekt? Akcje CD Projekt nieznacznie straciły na wartości, pamiętajmy jednak, że skutki tego ataku będziemy mogli ocenić dopiero za kilka miesięcy.
To już drugi raz, kiedy CD Projekt został zaatakowany przez cyberprzestępców, do podobnego incydentu doszło w czerwcu 2017 r. Jakie wnioski firma wyciągnie po kolejnym ataku? Tego pewnie dowiemy się niebawem.
Jak chronić się przed ransomware i kradzieżą danych?
Coraz częściej atakujący czają się w zaatakowanej sieci, niepostrzeżenie kradnąc w tym czasie nasze dane, a po ich przechwyceniu infekują sieć oprogramowaniem ransomware, żądają od swoich ofiar wysokiego okupu, grożąc przy tym wyciekiem skradzionych danych i atakiem DDoS. Możesz jednak tego uniknąć, jak rozpoznać podejrzaną aktywność w sieci? Jakie nietypowe zachowania powinny nas zaniepokoić? Wreszcie jakie oprogramowanie antywirusowe skutecznie ochroni nas przed zaszyfrowaniem plików? Na wszystkie te pytania odpowie nasz inżynier Bartłomiej Stryczek, który już 24 lutego 2021 r. przeprowadzi webinar, podczas którego zademonstruje jak CylancePROTECT blokuje złośliwe oprogramowanie, w tym próbki ransomware. Zapisz się już dziś, liczba miejsc ograniczona.
