Eine Hackergruppe namens BlackSuit hat die Verantwortung für den jüngsten Ransomware-Angriff auf den Verlagsriesen Kadokawa übernommen, und drohte mit der Freigabe gestohlener Daten, wenn das Lösegeld nicht bis zum 1. Juli 2024 gezahlt wird.

BlackSuit ist eine berüchtigte Ransomware-Bande, die aus der Umbenennung der Ransomware-Operation Royal entstand. Man geht davon aus, dass die Gruppe Verbindungen zum inzwischen aufgelösten Cybercrime-Syndikat Conti hat, einem wichtigen Akteur in der Ransomware-Szene.

Während der genaue Aufenthaltsort und die Identität der Mitglieder weiterhin unklar sind, haben Cybersicherheitsexperten mehrere Indikatoren identifiziert, die auf Verbindungen zu Russland hindeuten.

Kadokawa bestätigte den Cyberangriff erstmals Anfang Juni und berichtete von Störungen mehrerer Websites und Dienste. Seitdem veröffentlicht das Unternehmen regelmäßig Updates zu seinen Bemühungen, die Systeme wiederherzustellen und den Vorfall zu untersuchen.

Jedoch, Die von BlackSuit am 27. Juni 2024 veröffentlichte Erklärung enthüllte das volle Ausmaß des VerstoßesEs wird der Diebstahl von 1,5 Terabyte vertraulicher Informationen, darunter Geschäftspläne, Benutzerdaten, Verträge und Finanzunterlagen, behauptet.

BlackSuit behauptet, Schwachstellen in der Netzwerkarchitektur von Kadokawa ausgenutzt und sich so Zugang zu einem „Kontrollzentrum“ verschafft zu haben, das es ihnen ermöglichte, das gesamte Netzwerk zu verschlüsseln, was mehrere Tochtergesellschaften, darunter Dwango und NicoNico, betraf.

Obwohl die IT-Abteilung von Kadokawa ihre Anwesenheit bemerkte, konnten die Hacker mehrere Tage lang Daten herunterladen, bevor sie das Netzwerk verschlüsselten.

Die Hackergruppe behauptet, Kadokawa verhandele über eine Einigung, habe aber ein „extrem niedriges“ Lösegeld angeboten. Für ein Unternehmen dieser Größe, so warnten sie, könnten die durchgesickerten Daten erhebliche Konsequenzen für die Geschäftstätigkeit von Kadokawa und für die Privatsphäre vieler japanischer Bürger haben.

Die Einlösung wurde in der Erklärung nicht angegeben. Siehe das Bild der Erklärung unten.

In seinem neuesten UpdateKadokawa versicherte den Kunden, dass keine Kreditkarteninformationen kompromittiert worden seien, da diese nicht auf seinem System gespeichert seien.

Das Unternehmen erklärte außerdem, dass seine obersten Prioritäten darin bestünden, die Buchhaltungsfunktionen wiederherzustellen und die Produktion und den Vertrieb im Verlagsgeschäft normalisieren zu können. Die Ergebnisse würden Anfang Juli erwartet.

Obwohl die Produktion neuer Publikationen stabil bleibt, liegt der Versand bestehender Publikationen derzeit bei nur einem Drittel des Normalniveaus. Um die Auswirkungen abzumildern, ergreift Kadokawa alternative Maßnahmen, darunter die Aufstockung des Personals.

Im Web Services-Geschäft sind alle Dienste der Niconico-Familie noch immer ausgesetzt, obwohl Interimsdienste wie Niconico Video (Re: tmp) und Niconico Live Streaming (Re: tmp) bereitgestellt wurden.

Auch bestehende Dienste wie die Smartphone-Version von Niconico Manga und NicoFT wurden wieder aufgenommen.

Der Warenhandel war nur geringfügig beeinträchtigt, der Versand funktionierte normal. Allerdings verhinderte ein Fehler in der Kontoauthentifizierung von Kadokawa, dass sich Nutzer in bestimmte Online-Shops einloggen konnten.

Für betroffene Nutzer wurden temporäre Seiten eingerichtet. Kadokawa teilte mit, dass sie weiterhin über den Stand der Dinge informieren werden.

Quelle: NHK Kyodo