Os arquivos hackeados da CD Projekt teriam sido comprados em um leilão online, junto com o GWENT código-fonte vazando.
As relatado anteriormente, O CD Projekt anunciou que foi vítima de um hack de ransomware. Esse foi o terceiro caso semelhante para uma empresa de videogames em quatro meses.
O hacker reuniu dados, criptografou o sistema e deixou uma nota de resgate. Eles afirmaram que, a menos que suas demandas fossem atendidas em 48 horas, eles venderiam os códigos-fonte por Cyberpunk 2077, GWENT: The Witcher Card Game, The Witcher 3: Wild Hunt, e uma versão não lançada do último. Eles também ameaçaram passar documentos administrativos para jornalistas.
A CD Projekt afirmou que não vai ceder às exigências, mesmo que isso tenha levado à divulgação dos dados, e começou a trabalhar com as autoridades. Agora grupo de inteligência darknet KELA postou uma captura de tela de um fórum; supostamente o hacker confirmando que o Red Engine e os códigos-fonte foram leiloados com sucesso.
Enquanto a postagem de KELA foi feita em 11 de fevereiro (e a compra poderia ter sido anterior a isso), vx-underground publicou em 10 de fevereiro que o GWENT código fonte vazou online. Isso provavelmente provaria a legitimidade do restante dos arquivos. Vx-underground se descrevem como “A maior coleção de código-fonte, amostras e documentos de malware na internet.”
O Vx-underground também afirma que o hacker fez uma oferta inicial errônea de US$ 1,000 nos fóruns EXPLOIT, posteriormente corrigida para US$ 1 milhão. Os usuários podem aumentar o lance para um mínimo de US$ 500,000 ou comprar imediatamente por US$ 7 milhões.
O post de KELA afirmou (traduzido do russo) “Foi recebida uma oferta fora do fórum que nos satisfez. Com as condições de posterior não distribuição, a este respeito, foram obrigados a retirar o lote da venda.” O post mostrado por vx-underground também mostrou o horário de início do leilão no horário de Moscou (MSK).
O inédito Witcher 3 build foi apelidado de “Witcher 3 RTX”; e supostamente apresentava ray-tracing. O post de licitação também menciona a venda de documentos internos - ao invés de irem para jornalistas - juntamente com “Ofensas ao CD Project Red.”
Notícias cibernéticas relata o GWENT código-fonte foi vazado para “um fórum de hackers popular” em 10 de fevereiro. Eles observam que links de banco de dados (como o Mega) haviam retirado os arquivos, e enquanto o usuário que postou naquele fórum tinha um histórico de discussão e conhecimento de ransomware; eles podem ter acabado de compartilhar as informações.
O especialista em ransomware Luca Mella disse à Cybernews que, com base na nota de resgate e na KB de inteligência da Emsisoft, o hacker possivelmente estava relacionado ao grupo de hackers “HelloKitty”.
“Isso pode significar que o grupo é bastante novo e potencialmente crescendo rapidamente após o comprometimento de uma vítima de valor tão alto. Muitos outros afiliados mais jovens podem ingressar em suas operações depois disso. A CD Projekt é muito popular e amplamente discutida entre as comunidades underground e de jogos.”
Mella também afirmou que os dados vazados estão se espalhando para outros fóruns e partes dos dados estão sendo distribuídos ou vendidos em outros lugares. Outro “ator de ameaça” também afirmou que haverá um vazamento dos códigos-fonte mencionados acima e que aqueles que participaram do leilão original precisavam depositar 0.1 bitcoin (cerca de US $ 4,500) para participar.
A situação pode ser comparada ao Hack do Capcom Ragnar Locker Ransomware e vazamentos subsequentes [1, 2] de novembro de 2020. Junto com informações sobre os próximos jogos (alguns dos quais parecem ter se tornado realidade) e estratégias de negócios politicamente corretas.
Os hackers também obtiveram informações pessoais de funcionários, informações de RH e 350,000 itens de informações pessoais de clientes e parceiros de negócios (nenhuma das quais era informações de cartão de crédito).
Os fóruns da Koei Tecmo Europe também foram hackeado no final de dezembro de 2020. O hacker supostamente pediu Bitcoin, alegou que a Koei Tecmo tinha segurança digital sem brilho e falhou em seguir as diretrizes do GDPR por não informar seus usuários sobre o hack antes.
Imagem: GWENT: The Game Witcher cartão via Steam
