Capcom aangevallen via oude VPN-server

Logo van Capcom op een smartphone tegen een groengekleurde achtergrond van binaire coderegels

Capcom zegt te weten hoe hackers vorig jaar het bedrijfsnetwerk wisten te infiltreren. Uit forensisch onderzoek is gebleken dat de aanvallers via een oude VPN-server het netwerk wisten binnen te dringen. Daarna was het een koud kunstje om vertrouwelijke gegevens van ruim 390.000 mensen buit te maken.

Dat schrijft de Japanse gameontwikkelaar in een persverklaring. Dit is het vierde updatebericht over deze kwestie.

Ragnar Locker steelt vertrouwelijke gegevens Capcom-relaties

Voor het begin van deze kwestie moeten we terug naar november 2020. Toen merkte Capcom dat er zich problemen voordeden op het interne netwerk. Het systeem dat het e-mailverkeer afhandelt werkte niet naar behoren, evenals de file servers die bedrijfsgevoelige informatie opslaan. Al snel kwam het bedrijf erachter dat ze was getroffen door een ‘aangepaste ransomware-aanval’.

Ragnar Locker zat achter deze aanval. Naar eigen zeggen hadden ze 1 terabyte aan data gestolen van Capcom. Het ging om de persoonsgegevens van ruim 390.000 medewerkers, sollicitanten, klanten en aandeelhouders. Ze stalen onder meer namen, woonadressen, genderinformatie, geboortedata, telefoonnummers en e-mailadressen. Tevens maakten ze bedrijfsgevoelige informatie buit, waaronder interne rapporten en financiële informatie. Dat is officieel bevestigd door Capcom.

Ook zouden de aanvallers informatie over toekomstige games hebben gestolen. Volgens de geruchten gaat het om Resident Evil Village voor de PS4, Guillotine voor de Nintendo Switch, een nieuwe Ace Attorney-collectie voor de PS4 en Nintendo Switch, Resident Evil 4 voor Oculus-VR-headsets en een pc-release van Monster Hunter Rise en Monster Hunter Stories 2. De hackers hebben naar verluidt 11 miljoen dollar aan losgeld gevraagd. Tot op heden heeft Capcom dit niet bevestigd, net als het gerucht dat er info over toekomstige games is ontvreemd.

Coronacrisis gooit roet in het eten

Na het incident heeft Capcom direct aanvullende veiligheidsmaatregelen ingesteld. Tevens lanceerde het een forensisch onderzoek om de oorzaak te vinden waardoor de ransomware-aanval heeft kunnen plaatsvinden. Dat onderzoek is nu afgerond.

Beveiligingsdeskundigen stellen dat een oude VPN-server de boosdoener is. Deze server stond bij de Amerikaanse dochteronderneming van de gameontwikkelaar. Destijds gebruikten Capcom en het dochterbedrijf reeds een nieuw VPN-systeem. Vanwege de coronapandemie besloot de gameontwikkelaar om het oude systeem als een back-up achter de hand te houden.

Via de oude VPN-server wisten de hackers zowel het netwerk van de Amerikaanse dochteronderneming als het Japanse kantoor binnen te dringen en vertrouwelijke gegevens te stelen. Capcom had al voorzorgsmaatregelen geïmplementeerd om ongeautoriseerde toegang te voorkomen. De gameontwikkelaar was op dat moment bezig om extra beveiligingsmaatregelen te treffen, waaronder de installatie van een Security Operation Center (SOC) en Endpoint Detection and Response (EDR). Door de coronacrisis waren deze maatregelen nog niet doorgevoerd.

Capcom betaalt geen losgeld en heeft aanvullende maatregelen getroffen

Capcom schrijft dat de hackers op 1 november de ransomware installeerden op het bedrijfsnetwerk van de dochteronderneming en het hoofdkantoor in Japan. Daags daarna merkten medewerkers dat er iets mis was. Door het snelle ingrijpen is erger voorkomen, aldus de gameontwikkelaar.

Capcom zegt geen losgeld aan de hackers te betaald. De oude VPN-server is inmiddels verwijderd en uitgeschakeld. Het Security Operations Center is inmiddels actief en controleert voortdurend externe verbindingen met het bedrijfsnetwerk. Ook Endpoint Detection and Response is in de lucht. Deze software detecteert ongebruikelijke activiteiten op apparaten die aangesloten zijn op het bedrijfsnetwerk en helpt bij de afhandeling ervan.

Schematische weergave hoe de ransomware-aanval verliep bij Capcom

Schematische weergave hoe de ransomware-aanval verliep bij Capcom

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen