Después de días de especulación febril, Bandai Namco, el desarrollador de videojuegos con sede en Japón, incluidos Pac-Man, Dark Souls, Soulcaliber y Tekken, confirmó que se produjo un ataque cibernético contra sus sistemas, aunque no llegó a describirlo como un ransomware. ataque.
La conversación sobre un incidente surgió el lunes 11 de julio cuando VX Underground reveló a través de Twitter que los detalles de Bandai Namco habían aparecido en un sitio de fuga de víctimas administrado por el equipo de ransomware ALPHV, también conocido como BlackCat, junto con una amenaza de filtración de sus datos.
El grupo de ransomware ALPHV (también conocido como grupo de ransomware BlackCat) afirma haber rescatado a Bandai Namco.
Bandai Namco es una editorial internacional de videojuegos. Las franquicias de videojuegos de Bandai Namco incluyen Ace Combat, Dark Souls, Dragon Ball*, Soulcaliber y más. pic.twitter.com/hxZ6N2kSxl
— vx-underground (@vxunderground)
11 de julio de 2022
En una declaración proporcionada a varios medios, el editor dijo que un tercero había accedido a los sistemas internos de varias empresas del grupo en Asia.
“Después de que confirmamos el acceso no autorizado, tomamos medidas como bloquear el acceso a los servidores para evitar que se propague el daño”, dijo la firma.
“Además, existe la posibilidad de que la información del cliente relacionada con el negocio de juguetes y pasatiempos en las regiones asiáticas (excepto Japón) se haya incluido en los servidores y las PC, y actualmente estamos identificando el estado sobre la existencia de fugas, el alcance del daño, e investigando la causa.
“Continuaremos investigando la causa de este incidente y divulgaremos los resultados de la investigación según corresponda. También trabajaremos con organizaciones externas para fortalecer la seguridad en todo el grupo y tomar medidas para evitar que se repita”, agregó el portavoz.
“Ofrecemos nuestras más sinceras disculpas a todos los involucrados por cualquier complicación o preocupación causada por este incidente”.
Al comentar sobre el incidente, el CTO de Vectra EMEA, Steve Cottrell, dijo: “Bandai Namco parece ser la última de una creciente línea de víctimas de ransomware-as-a-service. [RaaS] grupo ALPHV. El grupo ha estado subiendo las apuestas recientemente, golpeando a empresas de todos los tamaños en todo el mundo y extorsionando a las víctimas por todo lo que valen; según se informa, cobra hasta $ 2.5 millones por rescates y lleva a cabo ataques de ransomware de ‘extorsión cuádruple’, atacando a las víctimas con cifrado de datos, robo de datos, ataques de denegación de servicio y más acoso, todo lo que los presiona para que se rindan”.
ALPHV/BlackCat ha estado operativo desde finales de 2021 y probablemente tenga vínculos con el grupo BlackMatter y, a través de ellos, posiblemente, con Darkside y REvil. Ha golpeado a varias víctimas de alto perfil, incluido el distribuidor de combustible con sede en Alemania OilTanking y la firma de servicios de aviación Swissport y, más recientemente, varias universidades en los EE. UU.
Jonathan Earley, analista de respuesta a amenazas cibernéticas en Integrity360, con sede en Dublín, ha lidiado con múltiples intrusiones ALPHV en los últimos meses.
Dijo que estaba quedando claro que a medida que la economía RaaS se vuelve cada vez más especializada, con algunos actores de amenazas que se especializan en el acceso inicial, algunos en la actividad posterior al compromiso y algunos en la monetización de las víctimas, el trabajo de los equipos de seguridad se vuelve más difícil porque cada vez es menos claro quién. está haciendo qué.
Múltiples víctimas de ALPHV, dijo, parecen haber sido víctimas de un vector de acceso inicial idéntico utilizado por diferentes operaciones, como el resultado de corredores de acceso inicial (IAB) activos que venden sus cabezas de puente a otros.
Sin embargo, dijo a Computer Weekly en comentarios enviados por correo electrónico, se observan algunos puntos en común en las intrusiones de ALPHV. Lo más notable, dijo Earley, es que la pandilla a menudo hace un intento inmediato de cifrar la infraestructura de VMware ESXi.
“Según nuestra experiencia, esto puede ser devastador para muchas organizaciones porque gran parte de su patrimonio está virtualizado; además, desde la perspectiva del atacante, cifrar un servidor puede poner de rodillas a la organización víctima”, dijo.
“Recomendaríamos las siguientes mitigaciones para los sistemas ESXI: segmentación de red para VMware ESXI y vCenter Server Management; use el modo de bloqueo en ESXI; copias de seguridad sólidas; habilitar la autenticación multifactor; y tienen un registro centralizado”.
Earley agregó: “Además de bloquear ESXi, es imperativo que las organizaciones se aseguren de que sus capacidades y cobertura de protección de punto final puedan detectar herramientas como la enumeración BloodHound AD, Cobalt Strike y secuencias de comandos Powershell de movimiento lateral como ADRecon.
“Además, en el lado de la red, las reglas de correlación que identifican el movimiento lateral con PsExec y el tráfico a sitios como MEGAsync se considerarían importantes”.
