CD PROJEKT RED Popular empresa de videojuegos sufre ataque de ransomware
CD PROJEKT RED, el estudio de desarrollo de videojuegos detrás de Cyberpunk 2077 y la trilogía The Witcher, ha revelado un ataque de ransomware. El mencionado ataque afectó su red informática.
El estudio de juegos polaco dijo en un comunicado oficial que los atacantes vulneraron la red interna. Y, pudieron recopilar datos del grupo CD PROJEKT antes de cifrar los sistemas y dejar una nota de rescate.
“Ya nos hemos acercado a las autoridades pertinentes, incluidas la policía y el presidente de la Oficina de Protección de Datos Personales. Asimismo, a especialistas forenses de informática, y cooperaremos estrechamente con ellos para investigar a fondo este incidente”, dijo CD PROJEKT RED.
Esta es la segunda vez que CD PROJEKT RED es atacado por ransomware, en el 2017 recibió un ataque similar.
Código fuente de juegos robado
Los atacantes afirman en la nota de rescate que se dejó en los sistemas cifrados de CD PROJEKT RED que pudieron robar el código fuente de diferentes juegos. Ellos afirman que obtuvieron el código fuente completo de Cyberpunk 2077, Witcher 3, Gwent, así como una versión inédita de Witcher 3.
También supuestamente extrajeron documentos contables, administrativos, legales, de recursos humanos y de relaciones con los inversores antes de cifrar los sistemas de la empresa.
Los sistemas comprometidos en el ataque no contenían los datos personales de los clientes según la información disponible luego de una investigación en curso.
“Todavía estamos investigando el incidente. Sin embargo, en este momento podemos confirmar que, hasta donde sabemos, los sistemas comprometidos no contenían ningún dato personal de nuestros jugadores o usuarios de nuestros servicios”.
Declaraciones de la compañía
La red de CD PROJEKT RED se aseguró después del ataque y la empresa está trabajando para restaurar los sistemas cifrados.
“Aunque algunos dispositivos en nuestra red se han cifrado, nuestras copias de seguridad permanecen intactas”, agregó el estudio de juegos. “Ya aseguramos nuestra infraestructura informática y comenzamos a restaurar los datos”.
Sin negociaciones
El fabricante de Cyberpunk 2077 agregó que no pagará el rescate solicitado por los operadores del ransomware. Y, tampoco negociará para que se eliminen los datos robados ya que es posible que aún se filtren.
“No cederemos a las demandas ni negociaremos con el ciberdelincuente, siendo conscientes de que esto eventualmente puede conducir a la liberación de los datos comprometidos”.
“Estamos tomando las medidas necesarias para mitigar las consecuencias de tal liberación, en particular acercándonos a las partes que puedan verse afectadas por la infracción“.
El ataque de ransomware en CD PROJEKT RED ocurre después de incidentes similares donde los sistemas de Capcom, Crytek y Ubisoft fueron vulnerados.
Según Fabian Wosar de Emisoft, el ransomware responsable de este ciberataque es ‘HelloKitty’.
Este grupo de ransomware ha estado activo desde noviembre de 2020 y se ha dirigido a otras grandes empresas. Por ejemplo, la eléctrica brasileña CEMIG el año pasado.
Grupo detrás del ataque
HelloKitty no está particularmente activo, por ello no hay mucha información sobre el ransomware.
El ransomware HelloKitty lleva el nombre de un mutex llamado ‘HelloKittyMutex’ que se usa cuando se inicia el ejecutable del malware.
Una vez iniciado, HelloKitty ejecuta de forma repetida taskkill.exe. Esto para finalizar los procesos asociados con el software de seguridad, los servidores de correo electrónico, los servidores de bases de datos, etc.
En total, HelloKitty tiene como objetivo más de 1,400 procesos y servicios de Windows.
Una vez que cierra los distintos procesos y servicios específicos, comienza a cifrar archivos en la computadora. Al cifrar archivos, agrega la extensión .crypted al nombre de un archivo cifrado.
Como cada ejecutable de HelloKitty se personaliza con una nota de rescate diferente, el nombre de la nota de rescate puede cambiar según la víctima.
Estas notas de rescate se personalizan por víctima para incluir la cantidad de datos que se robaron, qué datos se atacaron. Y, en muchos casos, el nombre de la empresa. Este texto personalizado indica que los atacantes acechan en la red comprometida durante algún tiempo mientras roban datos y, cuando terminan, implementan el ransomware.
En la nota de rescate se incluye una URL de Tor hacia la dark web que las víctimas pueden visitar para negociar con los administradores del ransomware. Esta URL de Tor es diferente para cada víctima y contiene una interfaz de chat simple para hablar con los ciberdelincuentes.
Desconocemos qué tan grandes son las demandas de rescate para este grupo de ransomware y si las víctimas han pagado en el pasado.
En este momento, ninguna debilidad conocida podría permitir que una víctima descifre sus archivos de forma gratuita.