CD Projekt odkrył incydent wczoraj, 8 lutego. Osoba lub osoby realizujące atak hackerski zaszyfrowała niektóre dane grupy kapitałowej. Ofiarą padły kody źródłowe do topowych produkcji CD Projekt Red, czyli gier Cyberunk 2077, Wiedźmin 3 i karcianego Gwinta. Dodatkowo zaszyfrowano komplet plików z serwerów administracyjnych, działu HR, księgowości, zarządu i relacji inwestorskich. Na miejscu pozostawiono notatkę z informacją o ransomware, żądaniach i czasie ich spełnienia. Spółka dostała 48 godzin na wpłacenie okupu, w przeciwnym wypadku dane grupy szerokim strumieniem wypłyną publicznie.

Dziś nie przywiduje się scenariuszy ataków, ale ze względu na dynamiczną sytuację bierze się podejście do zarządzania ryzykiem z elektrowni atomowych. Tam też myśli się o scenariuszach, ale ważniejsze jest myślenie o najgorszych konsekwencjach.

Przypomnijmy, że podobny atak na CD Projekt miał miejsce w 2017 roku, wówczas jednak dotyczył on plików mniej istotnych. Teraz jest inaczej.

Zobacz również:

• Adam Kiciński zrezygnował z funkcji prezesa grupy CD Projekt. Kurs akcji spółki ostro w dół
• FBI ostrzega - masowy atak phishingowy w USA

Jak zachował się CD Projekt wobec incydentu? Wzorowo. Dzień po odkryciu ataku ransomware spółka wydała oficjalne oświadczenie, w którym pokrótce nakreśliła sytuację, zapewniła o tym, że dane osobowe są bezpieczne, że odtwarza się skutecznie z backupu i że – co ważne – nie będzie negocjować i płacić okupu. Spółka powiadomiła też o incydencie prezesa UODO i organy ścigania.

Internet huczy, akcje firmy na giełdzie lekko dołują, a na ocenę prawdziwych rozmiarów ataków trzeba poczekać. Z nieoficjalnego źródła wiemy, że spółka nie wie jeszcze, co zostało dokładnie pobrane, ale bierze pod uwagę nawet najgorsze scenariusze.

Otrzymaliśmy też oficjalne stanowisko prezesa zarządu CD Projekt, Adama Kicińskiego:

Poprosiliśmy zewnętrznych ekspertów o komentarz w sprawie tego incydentu. Zwracają oni uwagę, że jest to po prostu opłacalny biznes. Pisaliśmy o tym niedawno w tekście opisującym raport „Cyberbezpieczeństwo: Trendy 2021". W wyniku ataków ransomware globalne straty szacuje się obecnie na 20 mld USD, podczas gdy pięć lat temu było to kilkadziesiąt razy mniej, bo zaledwie 325 mln USD.

Piotr Ciepiela, Globalny Lider ds Bezpieczenstwa Architektury i Nowoczesnych Technologii w firmie EY zauważa, że ransomware wprowadził ataki na zupełnie nowy poziom, ponieważ na atakach zaczęto zarabiać. „W ubiegłym roku najbardziej opłacalnym ransomware był ten, jakim zaatakowano uniwersytet w Utah. Mimo, że uczelnia miała system backupu, zdecydowała się zapłacić 450 tysięcy dolarów okupu” – mówi ekspert z EY. „A tam, gdzie jest możliwość zarobku, opłaca się ryzykować. Nie uchronimy się przed atakami. Na świecie zmienia się podejście do zarządzania ryzykiem. Dziś nie przywiduje się scenariuszy ataków, ale ze względu na dynamiczną sytuację bierze się podejście do zarządzania ryzykiem z elektrowni atomowych. Tam też myśli się o scenariuszach, ale ważniejsze jest myślenie o najgorszych konsekwencjach. Analiza black swan przechodzi do biznesu, firmy idą w tym kierunku i zastanawiają się, jak daleko sięgną konsekwencje po ataku i jak sobie z tym radzić”.

Anna Rydel Senior Sales Engineer, Commvault: „Czasem nie wiadomo, kiedy tak naprawdę atak ma miejsce. Bywa, że są one robione w ciszy przez miesiące czy lata. Najpierw następuje na przykład kradzież tożsamości, potem są próby wejścia, przejęcie uprawnień. Oczywiście w przypadku CD Projekt nie wiemy, jak to wyglądało, po prostu zwracam uwagę na fakt, że sposobów są co najmniej dziesiątki”.

CD Projekt zaznaczył w komunikacie, że odtwarza się po ataku z backupu. W jego przypadku więc zwykłe zaszyfrowanie „po całości” nie miało sensu. Za to – jak wydaje się atakującym – sens ma podważenie zaufania do firmy poprzez groźbę publikacji dokumentów. „Ransomware ewoluuje. To już nie są tylko ataki mające na celu zaszyfrowanie wszystkich danych, ale celowane ataki na wybrane elementy systemu” – mówi Anna Rydel. „Na końcu są pieniądze. Dla cyberprzestepców jest to po prostu biznes”.