A Capcom lançou uma atualização final sobre o ataque de ransomware que sofreu no ano passado, detalhando como os hackers tiveram acesso à rede, comprometeram dispositivos e roubaram informações pessoais pertencentes a milhares de indivíduos.
No início de novembro de 2020, o ransomware Ragnar Locker atingiu a desenvolvedora e editora de jogos japonês, forçando a Capcom a desligar partes de sua rede.
De forma típica para ataques de ransomware operados por humanos, o ator de ameaças roubou informações confidenciais antes de criptografar dispositivos na rede.
Ragnar Locker afirmou que eles haviam roubado 1TB de dados confidenciais da Capcom e exigiu um resgate de US$ 11 milhões em troca de não publicar as informações e oferecer uma ferramenta de descriptografia.
Dispositivo VPN comprometido
A Capcom anunciou que a restauração dos sistemas internos afetados pelo ataque está quase concluída e que a investigação sobre o incidente foi concluída.
Investigadores descobriram que os operadores da Ragnar Locker tiveram acesso à rede interna da Capcom mirando um antigo dispositivo de backup VPN localizado na subsidiária norte-americana da empresa na Califórnia.
A partir daí, o invasor votou em dispositivos em escritórios nos EUA e Japão e detonou o malware de criptografia de arquivos em 1º de novembro de 2020, fazendo com que os servidores de e-mail e arquivos fossem retirados do ar. Abaixo está uma representação simplificada do incidente.
A Capcom diz que estava no processo de aumentar as defesas da rede quando o ator de ameaça Ragnar Locker invadiu sua rede. O dispositivo VPN comprometido estava prestes a ser desligado, pois novos modelos haviam sido instalados.
No entanto, no fundo da pandemia empurrando para o trabalho remoto, o antigo servidor VPN continuou a funcionar como um backup de emergência em caso de problemas de comunicação.
A avaliação final da empresa sobre a violação de dados é que 15.649 pessoas foram impactadas; são 766 pessoas a menos do que o anunciado inicialmente em janeiro de 2021.
As informações não incluíam detalhes do cartão de pagamento, apenas dados corporativos e pessoais que incluem nomes, endereços, números de telefone e endereços de e-mail. A Capcom está notificando os indivíduos afetados.
Resgate não pago
Em relação ao resgate, a criadora de Resident Evil diz que o ator de ameaça deixou em sistemas criptografados uma mensagem que não mencionava nenhum preço, apenas instruções para entrar em contato com o atacante para se envolver em negociações.
De fato, os ataques de ransomware hoje em dia raramente dão detalhes de preço na nota de resgate. Na maioria das vezes, essas notas dão às vítimas instruções passo a passo sobre como começar a se comunicar com o agressor para aprender o resgate e começar a negociá-lo.
A Capcom diz que, após consultas com a polícia, não se envolveu com o operador de ransomware Ragnar Locker e não fez nenhum esforço para contatá-los. Essa decisão fez com que os dados da empresa fossem vazados algumas semanas após a violação.
Os resultados da investigação publicados no ultimo dia 13/04 mostram que a criadora de Street Fighter foi atingida em um momento ruim, quando seus esforços para a transição para melhores defesas foram abrandados por medidas para se adaptar à pandemia COVID-19.
Parte das medidas de segurança aumentadas da Capcom desde o ataque cibernético são um serviço do Centro de Operações de Segurança (SOC) que mantém um olho nas conexões externas e um sistema de detecção e resposta (EDR) para verificar se há atividades incomuns em PCs e servidores.
Sobre a Capcom
A Capcom é uma desenvolvedora e publicadora japonesa de jogos eletrônicos sediada em Osaka. Ela é conhecida por ter criado franquias multimilionárias, tais como Resident Evil, Street Fighter, Mega-Man, Monster Hunter, Devil May Cry, Dino Crisis e Onimusha.