Xakep #305. Многошаговые SQL-инъекции
Вчера компания CD Projekt Red сообщила, что стала жертвой шифровальщика, а вымогатели утверждали, что похитили исходные коды таких игр, как Cyberpunk 2077, The Witcher 3 (включая еще невышедшую версию с рейтрейсингом) и Gwent, а также финансовую, юридическую, административную и HR документацию.
CD Projekt Red писала, что не намерена вести переговоры с преступниками и платить им выкуп, понимая, что в конечном итоге скомпрометированные данные все равно могут быть раскрыты
Как потом сообщили ИБ-эксперты, включая Фабиана Восара из компании Emisoft, судя по опубликованной вымогательской записке, за этой атакой стоял относительно новый шифровальщик HelloKitty. Данная малварь активна с ноября 2020 года и нацелена на крупные компании, например, среди известных жертв числится бразильская энергетическая компания CEMIG.
The amount of people that are thinking this was done by a disgruntled gamer is laughable. Judging by the ransom note that was shared, this was done by a ransomware group we track as "HelloKitty". This has nothing to do with disgruntled gamers and is just your average ransomware. https://t.co/RYJOxWc5mZ
— Fabian Wosar (@fwosar) February 9, 2021
Другой ИБ-специалист, VX-Underground, пишет в Twitter, что злоумышленники уже выставили похищенные данные на аукцион. Стартовая цена «лота» с исходными кодами игр и другой украденной информацией составляет 1 000 000 долларов с шагом 500 000 долларов, а «блиц-цена» равна 7 000 000 долларов.
CD Projekt Red's ransomed data has been leaked online. pic.twitter.com/T4Zzqfn78F
— vx-underground (@vxunderground) February 10, 2021
Чтобы доказать подлинность украденных данных, продавец с ником redengine поделился текстовым файлом, содержащим список каталогов из предполагаемого исходного кода «Ведьмака 3». Также злоумышленники бесплатно опубликовали архив размером 21 Гб, который якобы содержит исходный код игры «Гвинт».
Аналитики ИБ-компании Kela пишут, что этот аукцион непохож на фальшивку, как минимум из-за упомянутого выше списка каталогов и желания хакеров использовать гаранта для проведения сделки.