Capcom: le gang de ransomware a utilisé un ancien VPN pour pénétrer le réseau

0

Capcom a publié de nouvelles informations sur l’attaque de ransomware qu’ils ont subi l’année dernière, détaillant comment les pirates ont obtenu l’accès au réseau, ont compromis les appareils, et volé des informations personnelles appartenant à des milliers de personnes.

Au début du mois de Novembre 2020, le ransomware Ragnar Locker a infecté le développeur et éditeur de jeux japonais, forçant Capcom à fermer certaines parties de son réseau.

Comme d’habitude pour les attaques de ransomware, les pirates informatique ont dérobé des informations sensibles avant de chiffrer les appareils sur le réseau.

Ragnar Locker a déclaré qu’ils avaient volé 1 To de données sensibles de Capcom et ont exigé une rançon de 11 millions de dollars en échange de la non-publication des informations et d’un outil de décryptage.

Le VPN compromis de Capcom

Récemment, Capcom a annoncé que la restauration des systèmes internes touchés par l’attaque est presque terminée et que l’enquête sur l’incident est terminée.

Les enquêteurs ont découvert que les opérateurs de Ragnar Locker avaient eu accès au réseau interne de Capcom en ciblant un ancien dispositif VPN de secours situé dans la filiale nord-américaine de l’entreprise en Californie.

L’attaquant s’est ensuite tourné vers des appareils dans des bureaux aux États-Unis et au Japon et a exécuter le malware de cryptage de fichiers le 1er Novembre, provoquant la mise hors-ligne des serveurs d’e-mail et de fichiers. Vous trouverez ci-dessous une représentation simplifiée de l’incident.

capcom vpn

Capcom affirme qu’ils étaient en train de renforcer les défenses du réseau lorsque Ragnar Locker a pénétré leur réseau. Le VPN compromis était sensé être désactivé car de nouveaux modèles avaient été installés.

Toutefois, dans le contexte de la pandémie qui force le travail à distance, l’ancien serveur VPN a continué à fonctionner en tant que plan d’urgence en cas de problèmes de communication.

L’évaluation finale de l’entreprise au sujet de la violation des données est que 15 649 personnes ont été touchées; soit 766 personnes de moins qu’annoncé initialement en Janvier 2021.

Les données affectées n’incluent pas les détails de carte de paiement, seulement les données corporatives et personnelles qui comprennent les noms, adresses, numéros de téléphone et adresses e-mail. Capcom contacte actuellement les personnes touchées.

La rançon n’a pas été payée

En ce qui concerne la rançon, le fabricant de jeux dit que le pirate informatique a laissé un message sur les systèmes chiffrés qui ne mentionne aucun prix, juste des instructions pour contacter l’attaquant et engager des négociations.

capcom

En effet, de nos jours les attaques de ransomware donnent rarement des détails de prix dans la note de rançon. La plupart du temps, ces notes de rançons donnent aux victimes des instructions étape par étape sur la façon de communiquer avec l’attaquant pour connaître la rançon et commencer à la négocier.

Capcom affirme qu’à la suite de consultations avec les forces de l’ordre, la compagnie n’a pas négocié avec l’opérateur du ransomware Ragnar Locker et n’a fait aucun effort pour les contacter. Cette décision a provoqué la fuite de données de l’entreprise quelques semaines après la violation.

Les résultats de l’enquête publiés montrent que le fabricant de jeux a été frappé à un mauvais moment, lorsque ses efforts pour une transition vers de meilleures défenses ont été ralentis par des mesures d’adaptation à la pandémie de la COVID-19.

Une partie des mesures de sécurité accrues de Capcom depuis la cyberattaque incluent un service de centre d’opérations de sécurité qui garde un œil sur les connexions externes et un système de détection et de réponse de point de terminaison pour vérifier l’activité inhabituelle sur les PC et les serveurs.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.