Jak hakerzy uderzyli w CD Projekt. Mail czy konto pracownika?

Uderzenie hakerów w producenta takich hitów, jak „Wiedźmin”, czy „Cyberpunk 2077”, wywołało falę spekulacji. Kim są szantażyści u jak doszło do włamania? Wśród możliwych scenariuszy pojawiły się nawet teorie mówiące o psychofanach, czy konkurencji stojącej za atakiem. Spytaliśmy ekspertów.

Dariusz Woźniak z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce, twierdzi, że do tej pory nie słyszał o przypadkach, w których producent gier jest atakowany przez konkurenta. – Choć zawsze może zdarzyć się ten pierwszy raz, tym bardziej, że gra w tym segmencie toczy się o bardzo wysokie stawki. Jednak wiele wskazuje na to, że za atakiem na CD Projekt stoi grupa hakerów ransomware – tłumaczy.

CZYTAJ TAKŻE: Skradzione kody gier CD Projektu na licytacji. Cena 7 mln dol.

Podobnie uważa Piotr Czopik, senior sales engineer na Europę Środkowo-Wschodnią w firmie Barracuda. – Zwykle głównym czynnikiem motywującym atakujących są względy finansowe i chęć szybkiego zarobku. Dodatkowe konsekwencje dla ofiary to utrata wizerunku firmy, spadek zaufania wśród klientów lub utrata własności intelektualnej. Potencjalny atakujący może bowiem chcieć sprzedać zdobytą wiedzę firmom konkurencyjnym – wyjaśnia.

Jego zdaniem był to atak przygotowany i wycelowany specjalnie w CD Projekt. – W trakcie ataku zostało użyte m.in. oprogramowanie typu ransomware, które spowodowało zaszyfrowanie części danych. Nie wiemy, co dokładnie zaszło w tym przypadku, ale nasze doświadczenia pokazują, że zdecydowana większość udanych ataków tego typu rozpoczyna się od komunikacji mailowej. W wiadomości kierowanej do konkretnego użytkownika, bądź kilku użytkowników, zostaje przemycone złośliwe oprogramowanie, które otwiera atakującym drzwi do dalszych działań – opisuje możliwy scenariusz cyberataku Piotr Czopik.

Według niego zdarza się również, że atakujący wchodzą w posiadanie dostępu do konta jednego z pracowników (tzw. account takeover), a następnie kontynuują działania posługując się już legalnym kontem prawdziwego użytkownika. – Jest to oczywiście przypadek bardzo trudny do wykrycia – zaznacza. – Ostatnie miesiące związane z przejściem większości pracowników na pracę zdalną dodatkowo zwiększają ryzyko. W wielu przypadkach ludzie nie znajdują się już za szeregiem fortyfikacji budujących bezpieczeństwo w siedzibie firmy, lecz korzystają z dużo skromniejszych zabezpieczeń domowych – kontynuuje ekspert.

Jak zauważa, przykład CD Project pokazuje jak ważny jest tzw. backup danych. – Według oświadczenia opublikowanego przez firmę, są oni w stanie odtworzyć zaszyfrowane przez ransomware dane właśnie z kopii bezpieczeństwa. Dzięki temu nie muszą negocjować okupu za ich odzyskanie – tym bardziej, że ewentualne zapłacenie okupu i tak nie daje pewności odzyskania danych ani gwarancji, że informacje wykradzione z firmy nie zostaną opublikowane lub sprzedane. Pokazuje to, że skuteczny backup nadal stanowi jeden z filarów bezpieczeństwa danych – podkreśla przedstawiciel firmy Barracuda.

Z kolei Dariusz Woźniak dodaje, iż tak naprawdę obrona przez atakami typu ransomware jest bardzo trudna. – Jedynym skutecznym rozwiązaniem jest zastosowanie mechanizmów ochronnych bazujących na uczeniu maszynowym. Incydentów może być kilkaset dziennie, a informatyk nie jest w stanie wszystkiego sam kontrolować – przekonuje nasz rozmówca.