Buscar

A un día de la declaración oficial de CD Projekt Red sobre un severo ataque ransomware que había sufrido el developer, parece que el hacker cumplió su promesa, y los archivos de varios de sus títulos ya se están distribuyendo o subastando en foros de piratería.

Ayer, el desarrollador y publisher de las franquicias The Witcher, Gwent y Cyberpunk 2077, confirmó haber sido víctima del ataque ransomware (al igual que lo fue Capcom hace pocos meses) que podría haber habilitado el acceso a ciertos datos no públicos. En una serie de tweets, la compañía afirmó que los datos privados de los empleados deben estar seguros, aunque claramente no se puede decir lo mismo sobre los códigos fuente de los juegos.

Los primeros datos ya se han publicado en Mega.nz (y se han eliminado rápidamente), pero los contenidos se han extendido rápidamente en foros de piratería y 4Chan. Un sitio web llamado CyberNews ya descargó los archivos y pudieron verificar que los datos realmente contienen el código fuente de Gwent, un juego de cartas lanzado por CD Projekt Red.

Todos los archivos tienen una fecha de modificación del 5 de febrero, que podría ser la fecha en que ocurrió la infracción. Los hackers le habían dado 48 horas a CD Projekt RED para pagar el rescate (lo cual no hicieron), de lo contrario, los datos comenzarían a filtrarse. Esto indica que la infracción ocurrió durante el fin de semana y el tiempo dado al desarrollador ya expiró. El publisher polaco ya ha confirmado que no cederá a las demandas del autor del cibercrimen.

«Según el tiempo de respuesta de la empresa», dijo a CyberNews el experto en ransomware Luca Mella, «es posible que el ataque se haya llevado a cabo el fin de semana, por lo que las 48 horas ya han expirado, y es por eso que los datos comenzaron a circular».

El autor del post donde se están subastando los códigos fuentes de los juegos, había publicado anteriormente en el mismo foro de piratería sobre temas que detallan Cobalt Strike, un código fuente de ransomware de código abierto, y varios tutoriales y enlaces sobre exploits, escalada de privilegios y criptografía. Esto denota claramente el conocimiento, las herramientas y las habilidades necesarias para lanzar un ataque de ransomware.

Cobalt Strike es una de las herramientas posteriores a la explotación más comunes para realizar ataques de ransomware después de la infracción inicial. Cobalt Strike tiene beacons que crean un túnel consistente entre el objetivo y un atacante para entregar cargas útiles (payload), lo que hace posible exfiltrar los datos y entregar una carga útil (Cryptolocker) para cifrar los datos.

Lo más probable es que la primera parte de las filtraciones se haya originado en el reciente ataque del operador de ransomware HelloKitty a CD Projekt Red, durante el cual sus archivos fueron robados y cifrados.

Mella está de acuerdo. «Según el nombre del archivo de la nota de rescate y la KB de inteligencia de Emsisoft, el autor parece estar relacionado con un grupo de ransomware llamado HelloKitty», dijo a CyberNews. “Esto podría significar que el grupo es bastante nuevo y potencialmente está creciendo rápidamente después del compromiso de una víctima de tan alto valor. Muchos otros afiliados más jóvenes pueden unirse a sus operaciones después de esto. CD Projekt es muy popular y ampliamente discutido entre las comunidades clandestinas y de juegos «.

Mella también ha observado que la filtración se está extendiendo a otros foros. “Me doy cuenta de que muchos usuarios han descargado los datos robados y algunos de ellos están tratando de vender y divulgar parte de ellos también en otros lugares”.

El en archivo Léeme que se adjuntó al código fuente filtrado menciona que mañana habrá una próxima publicación de estos datos sensibles.

En foros de piratería, los datos que contienen códigos fuente de Thronebreaker: The Witcher Tales, The Witcher 3 y sus expansiones, la anunciada versión next-gen de The Witcher 3 con ray tracing (a la cual el hacker se refiere como «Witcher 3 RTX») y Cyberpunk 2077, ya se están subastando. Los hackers piden 0.1 BTC como depósito (actualmente valorado en u$s 4500).

Demás está decir que este ransomware ocurrió en un momento muy inoportuno para CD Projekt Red. En diciembre, el estudio lanzó su juego RPG de acción en primera persona, Cyberpunk 2077, que ha sido criticado por numerosos errores y falta de optimización en consolas más antiguas. El cofundador de CD Projekt se disculpó públicamente el mes pasado y prometió parches que solucionarán los errores, y los usuarios están a la espera del parche 1.2 luego de que se lanzara el 1.1 seguido por los hotfix 1.11 y 1.12 para PC (este último para evitar vulnerabilidades con mods).

Dejar una respuesta