A CAPCOM revelou na terça – feira os resultados da investigação sobre o ataque ransomware em sua rede em novembro
O dispositivo da Capcom U.S.A. foi removido da rede.
De acordo com especialistas em tecnologia da informação, um ciberataque foi realizado em um antigo dispositivo de backup Virtual Private Network (VPN) que havia sido mantido na Capcom U.S.A., subsidiária norte-americana da CAPCOM, em outubro. A CAPCOM já havia introduzido um novo modelo diferente de dispositivos VPN.
No entanto, a subsidiária manteve um dispositivo VPN mais antigo como um backup de emergência, devido ao peso sobre a rede da empresa a partir da propagação da pandemia do Coronavirus (COVID-19). O antigo dispositivo de VPN foi o alvo do ataque, e desde então foi removido da rede.
Alguns dispositivos foram comprometidos em ambos os escritórios americanos e japoneses da CAPCOM através do dispositivo VPN afetado, o que levou ao roubo de informações. Após a fase final do ataque, alguns dispositivos em seus escritórios foram infectados com ransomware em 1 de novembro, começando por volta das 23:00 JST (Japan Standard Time), resultando em arquivos em dispositivos afetados sendo criptografados. A partir das primeiras horas da manhã de 2 de novembro, algumas das redes do Grupo CAPCOM experimentaram problemas que afetaram o acesso a certos sistemas, incluindo servidores de e-mail e arquivos.
A CAPCOM tomou uma série de medidas para reforçar a segurança existente, a fim de evitar uma reincidência. Isso inclui a implementação de um serviço chamado Centro de Operações de Segurança (SOC), que monitora continuamente sistemas e redes, e detecção e resposta nos pontos finais de comunicação (EDR), que permite a detecção precoce de atividade incomum em dispositivos.
A empresa revelou que o atacante cibernético deixou um arquivo de mensagem nos dispositivos que foram infectados com ransomware contendo informações de contato para negociação, mas nenhuma menção de um valor de resgate. A CAPCOM decidiu não envolver o responsável pelo ataque na negociação.
Background
A CAPCOM confirmou em janeiro que as informações pessoais mantidas pelo Grupo CAPCOM foram comprometidas após o ataque personalizado com ransomware. A CAPCOM anunciou em 16 de novembro que informações pessoais de nove pessoas foram comprometidas, e a empresa havia então relatado com uma atualização da investigação que informações pessoais de mais 16.406 pessoas foram comprometidas.
Com sua última atualização, a CAPCOM confirmou que um total reduzido de 15.649 pessoas tiveram suas informações pessoais – incluindo nome, endereço, número de telefone, endereço de e-mail e informações de RH -comprometidas no ataque não autorizado à rede.
Os sistemas internos da CAPCOM se recuperaram, e as suas operações voltaram ao normal. A empresa informou que não houve alterações nos resultados de negócios consolidados do Grupo CAPCOM para o ano fiscal terminando em 31 de março.
A CAPCOM anunciou em 4 de novembro que algumas das redes do grupo da empresa passaram por problemas devido ao acesso não autorizado de terceiros que afetaram o acesso aos seus sistemas, incluindo e-mails e arquivos do servidor, começando em 2 de novembro no início da manhã. A empresa interrompeu algumas operações da rede interna. A CAPCOM descobriu uma mensagem de uma organização criminosa “Ragnar Locker” e entrou em contato com a polícia da Prefeitura de Osaka após confirmar que o grupo estava exigindo dinheiro de resgate. A empresa descobriu itens comprometidos em 12 de novembro.
A partir de 16 de novembro, a CAPCOM comunicou problemas de rede à autoridade de supervisão sob responsabilidade do Regulamento Geral de Proteção de Dados (Gabinete do Comissário da Informação no Reino Unido) e à Comissão de Proteção de Informações Pessoais no Japão. A empresa também implementou um software de proteção, desligou transmissões suspeitas e realizou a reconstrução do servidor. A CAPCOM contratou uma empresa de segurança de terceiros, e organizou uma estrutura de relatórios e consultoria com uma grande empresa de software, fornecedores especialistas em segurança e escritórios de advocacia.
A CAPCOM afirmou anteriormente que o ataque pode ter comprometido outras informações pessoais e corporativas. Os dados pessoais potencialmente comprometidos incluem informações do serviço de apoio a jogos eletrônicos Japonês, informações do site de operações da CAPCOM e da Esports na América do Norte, uma lista de acionistas e informações pessoais sobre antigos funcionários, suas famílias, candidatos e trabalhadores de recursos humanos. Dados corporativos potencialmente comprometidos incluem dados de vendas, informações de parceiros de negócios, documentos de vendas e documentos de desenvolvimento. A CAPCOM verificou que nenhum destes dados contém informações de cartão de crédito.
A CAPCOM continuará coordenando com as autoridades policiais dos EUA e do Japão, uma grande empresa especializada em segurança e tecnologia da informação e especialistas em segurança externa.
O incidente não afetou as conexões de jogo online da CAPCOM ou o acesso ao site. A empresa pediu desculpas por qualquer preocupação com este incidente, e afirmou que acredita que qualquer efeito sobre os resultados de negócios consolidados do grupo CAPCOM para este ano fiscal será negligenciável.
Fontes: Capcom e Anime News Network
Carinhosamente
Marcos Mariano
