CD PROJEKT, een Poolse gameontwikkelaar en uitgever, is het slachtoffer geworden van een gewiekste hacker. Hij slaagde erin om de servers van het bedrijf binnen te dringen, data te stelen en bestanden te versleutelen. Er is naar verluidt geen persoonlijke informatie van gamers gestolen.
Dat schrijft CD PROJEKT in een verklaring die via Twitter is verspreid.
Hacker versleutelt data met ransomware
Wanneer de cyberaanval precies plaatsvond, is onduidelijk. De game developer zegt dat ze maandag ontdekte dat een aantal systemen was gecompromitteerd. Een ‘niet-geïdentificeerde actor’ slaagde erin om toegang te verschaffen tot het interne netwerk. Eenmaal binnen stal hij vertrouwelijke informatie die toebehoort aan CD PROJEKT Capital Group. Tevens liet de aanvaller een digitale brief achter waarin hij om losgeld vraagt. Om hoeveel geld het gaat is onbekend.
CD PROJEKT zegt dat een aantal apparaten in het netwerk is versleuteld door ransomware. Een hacker gooit dan als het ware computers en bestanden op slot. De enige manier om toegang te krijgen tot de apparatuur en data, is door losgeld te betalen. Weigert het slachtoffer? Dan dreigt de dader in regel om de gestolen informatie te verkopen of openbaar op internet te publiceren. Vertrouwelijke en concurrentiegevoelige gegevens belanden zo op straat, wat tot ernstige reputatieschade kan leiden.
Ondanks dat veel bestanden versleuteld zijn, zegt de Poolse gameontwikkelaar dat alle back-ups nog intact zijn. Het bedrijf is inmiddels begonnen met het herstellen van het netwerk en de data.
CD PROJEKT onderhandelt niet met hackers
“We geven niet toe aan de eisen en we onderhandelen niet met de dader. We zijn ons ervan bewust dat er hierdoor mogelijk gestolen data naar buiten wordt gebracht”, schrijft CD PROJEKT in zijn verklaring over de zaak. De gamestudio zegt maatregelen te nemen om de schade door publicatie te minimaliseren.
Het bedrijf onderzoekt momenteel intern hoe de ransomware-aanval heeft kunnen plaatsvinden. Externe forensisch specialisten werken daarbij nauw samen. ‘Relevante autoriteiten’ zijn reeds op de hoogte gesteld van de cyberaanval en doen alles wat in hun macht ligt om de onderste steen boven te krijgen.
De enige geruststelling die CD PROJEKT momenteel geeft is dat er geen aanwijzingen zijn dat er persoonlijke gegevens van gamers zijn buitgemaakt.
Hacker dreigt gestolen informatie op te sturen naar journalisten
In de losgeldbrief, die de uitgever openbaar heeft gemaakt, zegt de aanvaller dat hij de broncode van Cyberpunk 2077, The Witcher 3, Gwent en een niet nog vrijgegeven versie van The Witcher 3 heeft gestolen. Dat laatste verwijst wellicht naar de versie voor de next-generation gaming consoles en pc. Tevens zegt de dader in het bezit te zijn van bedrijfsgevoelige documenten van de afdeling accounting, administratie, juridische zaken en personeelszaken. Ook financiële gegevens van investeerders en andere relaties heeft de hacker naar eigen zeggen weten te bemachtigen.
De dader dreigt alle informatie openbaar te maken als CD PROJEKT weigert te onderhandelen. Hij zegt dat hij de broncode van games en gestolen documenten dan opstuurt naar journalisten. “Jullie imago gaat dan naar de knoppen en iedereen ziet dan hoe slecht jullie bedrijf functioneert. Investeerders verliezen het vertrouwen in jullie bedrijf en de aandelenkoers daalt dan nog verder”, dreigt de hacker.
De aanvaller geeft de ontwikkelaar 48 uur de tijd om contact op te nemen.
Deze game developers waren afgelopen jaar het doelwit van hackers
CD PROJEKT is niet de enige partij die recentelijk is aangevallen door hackers. In november vorig jaar was Capcom het slachtoffer van een ‘aangepaste ransomware-aanval’. Hackersgroep Ragnar Locker eiste de verantwoordelijkheid op voor de aanval. Ze slaagden erin om het bedrijfsnetwerk van Capcom te infiltreren en persoonsgegevens van medewerkers en klanten te stelen. Het ging onder meer om voor- en achternaam, woonadres, e-mailadres, telefoonnummer, identiteitsbewijs en digitale handtekening. Volgens de laatste berekening zijn er persoonsgegevens van 390.000 klanten uit Japan en Noord-Amerika gestolen. Ragnar Locker eiste een bedrag van 11 miljoen dollar aan losgeld.
Begin november werden gamedeveloper Crytek en uitgever Ubisoft getroffen door Egregor. De daders dreigden om de broncode van Watch Dogs: Legion vrij te geven, een game die eind oktober verscheen voor PlayStation 4, Xbox One, Google Stadia en pc. Daarnaast hebben de hackers naar verluidt documenten online gezet die details geven over games die momenteel worden ontwikkeld door Crytek, of ooit in ontwikkeling waren. In totaal is er voor 560 gigabyte aan data gestolen door Egregor.
Eind december werd Koei Tecmo -bekend van games als Dynasty Warriors, Fire Emblem Warriors, Hyrule Warriors: Age of Calamity voor de Nintendo Switch en de Dead or Alive-reeks- getroffen door een spearphishingaanval. Het gerucht gaat dat bij de aanval een database werd gestolen die de gegevens van 65.000 forumleden bevatte. Onder de gestolen informatie bevindt zich naar verluidt e-mailadressen, IP-adressen, gebruikersnamen, verjaardagen, land van afkomst en gehashte wachtwoorden met salt. Bij de cyberaanval zijn geen financiële gegevens of persoonsgegevens van medewerkers buitgemaakt.
Update (11 februari 2021): er zijn inmiddels meer details naar buiten gekomen over de cyberaanval op CD PROJEKT. Volgens Bleepingcomputer heet de bende die verantwoordelijk is voor de aanval HelloKitty. De groep is vernoemd naar de gelijknamige en zachtaardige kat van de Japanse animatiestudio Sanrio, maar deze kwalificatie geldt zeker niet voor de leden van het hackerscollectief. HelloKitty is sinds november 2020 actief en heeft al enkele grote bedrijven aangevallen, waaronder de Braziliaanse energiemaatschappij CEMIG.
Als de malware van HelloKitty eenmaal actief is, schakelt hij zoveel mogelijk beveiligingsapplicaties en andere relevante processen uit, waaronder e-mail, database en back-up services. Hiervoor hebben de ontwikkelaars taskkill.exe bedacht. Deze executable annuleert meer dan 1.400 processen en Windows services. Daarnaast versleutelt hij bestanden. Deze zijn te herkennen aan de extensie .crypted.
Zoals we in het verleden ook bij andere slachtoffers van gijzelsoftware hebben gezien, laat HelloKitty een read_me.txt bestand achter. Daarin staat hoeveel losgeld de hackers eisen voor de sleutel om de bestanden te ontgrendelen. Tevens bevat hij een URL die naar een pagina op het dark web verwijst. Daar kunnen slachtoffers onderhandelen met de aanvallers over de hoogte van het losgeld. Daarover zwijgt CD PROJEKT vooralsnog in alle talen.
Update (13 februari 2021): de aanvallers hebben de daad bij het woord gevoegd. Ze dreigden om de broncode van enkele games te verkopen aan journalisten als CD PROJEKT geen losgeld zou betalen. Het datasecurityplatform vx-underground zegt op Twitter dat de hackers via een online veiling de broncode van The Witcher 3 en Cyberpunk 2077 hebben verkocht.
De gameontwikkelaar heeft tot op heden niet gereageerd op de claim dat de broncode van twee games in handen zijn van een onbekende koper. Wel laat CD PROJEKT via Twitter weten dat oud-werknemers zich geen zorgen hoeven te maken over de ransomware-aanval. “Er is geen enkele aanwijzing dat jullie persoonlijke data is geraadpleegd. Desalniettemin raden we aan om voorzichtig te zijn voor bijvoorbeeld fraudemeldingen”, aldus het bedrijf. Voormalige medewerkers die vragen hebben, kunnen deze richten aan het Privacy Team van het bedrijf.
