Atak na CD Projekt

Polski internet żyje dziś jednym wydarzeniem – zhakowano CD Projekt. Na razie, poza oficjalnym komunikatem firmy i opublikowanym listem cyberprzestępców/cyberprzestępcy, niewiele wiadomo. Spółka nie zamierza płacić okupu, odtwarza się z backupu. Jakie dane padły łupem?

CD Projekt odkrył incydent wczoraj, 8 lutego. Osoba lub osoby realizujące atak hackerski zaszyfrowała niektóre dane grupy kapitałowej. Ofiarą padły kody źródłowe do topowych produkcji CD Projekt Red, czyli gier Cyberunk 2077, Wiedźmin 3 i karcianego Gwinta. Dodatkowo zaszyfrowano komplet plików z serwerów administracyjnych, działu HR, księgowości, zarządu i relacji inwestorskich. Na miejscu pozostawiono notatkę z informacją o ransomware, żądaniach i czasie ich spełnienia. Spółka dostała 48 godzin na wpłacenie okupu, w przeciwnym wypadku dane grupy szerokim strumieniem wypłyną publicznie.

Dziś nie przywiduje się scenariuszy ataków, ale ze względu na dynamiczną sytuację bierze się podejście do zarządzania ryzykiem z elektrowni atomowych. Tam też myśli się o scenariuszach, ale ważniejsze jest myślenie o najgorszych konsekwencjach.

Przypomnijmy, że podobny atak na CD Projekt miał miejsce w 2017 roku, wówczas jednak dotyczył on plików mniej istotnych. Teraz jest inaczej.

Zobacz również:

  • Mowa nienawiści to duży problem Facebooka

Jak zachował się CD Projekt wobec incydentu? Wzorowo. Dzień po odkryciu ataku ransomware spółka wydała oficjalne oświadczenie, w którym pokrótce nakreśliła sytuację, zapewniła o tym, że dane osobowe są bezpieczne, że odtwarza się skutecznie z backupu i że – co ważne – nie będzie negocjować i płacić okupu. Spółka powiadomiła też o incydencie prezesa UODO i organy ścigania.

Internet huczy, akcje firmy na giełdzie lekko dołują, a na ocenę prawdziwych rozmiarów ataków trzeba poczekać. Z nieoficjalnego źródła wiemy, że spółka nie wie jeszcze, co zostało dokładnie pobrane, ale bierze pod uwagę nawet najgorsze scenariusze.

Otrzymaliśmy też oficjalne stanowisko prezesa zarządu CD Projekt, Adama Kicińskiego:

W dzisiejszej komunikacji opublikowaliśmy całość komunikatu przestępców za wyłączeniem adresów mailowych, na które mieliśmy się z nimi kontaktować. W informacji pozostawionej przez przestępców nie było żądania okupu. Znalazła się natomiast groźba upublicznienia skradzionych dokumentów i danych w razie niespełnienia żądań oraz oczekiwanie kontaktu w ciągu 48 godzin. Ofiarą ataku padły serwery i znajdujące się na nich zasoby Grupy CD PROJEKT. Zgodnie z naszą najlepszą wiedzą nie doszło do wycieku danych osobowych graczy i innych użytkowników naszych usług. W tej chwili skupiamy się na badaniu samego incydentu, zabezpieczaniu infrastruktury i przywracaniu danych, które zgodnie z naszymi wewnętrznymi procedurami są regularnie zapisywane w formie kopii zapasowych (tzw. backup). Jest więc zbyt wcześnie aby oceniać długoterminowe skutki ataku. Na pewno krótkoterminowo wpłynie on na tempo prowadzonych prac deweloperskich. W naszej ocenie dotychczasowe ustalenia wewnętrzne dotyczące ataku i jego skutków nie uzasadniają przekazywania informacji w trybie raportu bieżącego (jako informacja poufna). Obecnie podejmujemy odpowiednie działania, w tym wyjaśniające i weryfikujące, w związku z atakiem. Jeżeli wnioski wynikające z dokonania przez Zarząd całościowej analizy stwierdzonych skutków ataku i ich wpływu na działalność Spółki będą świadczyć o zasadności opublikowania przez nas raportu bieżącego - raport zostanie opublikowany niezwłocznie. Nasze obecne podejście jest zgodne ze stosowaną do tej pory praktyką komunikacyjną w tego rodzaju przypadkach z lat ubiegłych.

Poprosiliśmy zewnętrznych ekspertów o komentarz w sprawie tego incydentu. Zwracają oni uwagę, że jest to po prostu opłacalny biznes. Pisaliśmy o tym niedawno w tekście opisującym raport „Cyberbezpieczeństwo: Trendy 2021". W wyniku ataków ransomware globalne straty szacuje się obecnie na 20 mld USD, podczas gdy pięć lat temu było to kilkadziesiąt razy mniej, bo zaledwie 325 mln USD.

Piotr Ciepiela, Globalny Lider ds Bezpieczenstwa Architektury i Nowoczesnych Technologii w firmie EY zauważa, że ransomware wprowadził ataki na zupełnie nowy poziom, ponieważ na atakach zaczęto zarabiać. „W ubiegłym roku najbardziej opłacalnym ransomware był ten, jakim zaatakowano uniwersytet w Utah. Mimo, że uczelnia miała system backupu, zdecydowała się zapłacić 450 tysięcy dolarów okupu” – mówi ekspert z EY. „A tam, gdzie jest możliwość zarobku, opłaca się ryzykować. Nie uchronimy się przed atakami. Na świecie zmienia się podejście do zarządzania ryzykiem. Dziś nie przywiduje się scenariuszy ataków, ale ze względu na dynamiczną sytuację bierze się podejście do zarządzania ryzykiem z elektrowni atomowych. Tam też myśli się o scenariuszach, ale ważniejsze jest myślenie o najgorszych konsekwencjach. Analiza black swan przechodzi do biznesu, firmy idą w tym kierunku i zastanawiają się, jak daleko sięgną konsekwencje po ataku i jak sobie z tym radzić”.

Anna Rydel Senior Sales Engineer, Commvault: „Czasem nie wiadomo, kiedy tak naprawdę atak ma miejsce. Bywa, że są one robione w ciszy przez miesiące czy lata. Najpierw następuje na przykład kradzież tożsamości, potem są próby wejścia, przejęcie uprawnień. Oczywiście w przypadku CD Projekt nie wiemy, jak to wyglądało, po prostu zwracam uwagę na fakt, że sposobów są co najmniej dziesiątki”.

CD Projekt zaznaczył w komunikacie, że odtwarza się po ataku z backupu. W jego przypadku więc zwykłe zaszyfrowanie „po całości” nie miało sensu. Za to – jak wydaje się atakującym – sens ma podważenie zaufania do firmy poprzez groźbę publikacji dokumentów. „Ransomware ewoluuje. To już nie są tylko ataki mające na celu zaszyfrowanie wszystkich danych, ale celowane ataki na wybrane elementy systemu” – mówi Anna Rydel. „Na końcu są pieniądze. Dla cyberprzestepców jest to po prostu biznes”.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200