Eine Hackergruppe namens BlackSuit hat die Verantwortung für den jüngsten Ransomware-Angriff auf den Verlagsriesen Kadokawa übernommen, und drohte mit der Freigabe gestohlener Daten, wenn das Lösegeld nicht bis zum 1. Juli 2024 gezahlt wird.

BlackSuit ist eine berüchtigte Ransomware-Bande, die aus der Umbenennung der Ransomware-Operation Royal entstand. Man geht davon aus, dass die Gruppe Verbindungen zum inzwischen aufgelösten Cybercrime-Syndikat Conti hat, einem wichtigen Akteur in der Ransomware-Szene.

Während der genaue Aufenthaltsort und die Identität der Mitglieder weiterhin unklar sind, haben Cybersicherheitsexperten mehrere Indikatoren identifiziert, die auf Verbindungen zu Russland hindeuten.

Kadokawa bestätigte den Cyberangriff erstmals Anfang Juni und berichtete von Störungen mehrerer Websites und Dienste. Seitdem veröffentlicht das Unternehmen regelmäßig Updates zu seinen Bemühungen, die Systeme wiederherzustellen und den Vorfall zu untersuchen.

Jedoch, Die von BlackSuit am 27. Juni 2024 veröffentlichte Erklärung enthüllte das volle Ausmaß des VerstoßesEs wird der Diebstahl von 1,5 Terabyte vertraulicher Informationen, darunter Geschäftspläne, Benutzerdaten, Verträge und Finanzunterlagen, behauptet.

BlackSuit behauptet, Schwachstellen in der Netzwerkarchitektur von Kadokawa ausgenutzt und sich so Zugang zu einem „Kontrollzentrum“ verschafft zu haben, das es ihnen ermöglichte, das gesamte Netzwerk zu verschlüsseln, was mehrere Tochtergesellschaften, darunter Dwango und NicoNico, betraf.

Obwohl die IT-Abteilung von Kadokawa ihre Anwesenheit bemerkte, konnten die Hacker mehrere Tage lang Daten herunterladen, bevor sie das Netzwerk verschlüsselten.

Die Hackergruppe behauptet, Kadokawa verhandele über eine Einigung, habe aber ein „extrem niedriges“ Lösegeld angeboten. für ein Unternehmen dieser Größe. Sie warnten, dass die durchgesickerten Daten erhebliche Folgen für Kadokawas Geschäftstätigkeit und die Privatsphäre vieler japanischer Bürger haben könnten.

Die Einlösung wurde in der Erklärung nicht angegeben. Siehe das Bild der Erklärung unten.

In seinem neuesten UpdateKadokawa versicherte den Kunden, dass keine Kreditkarteninformationen kompromittiert worden seien, da diese nicht auf seinem System gespeichert seien.

Das Unternehmen erklärte außerdem, dass seine obersten Prioritäten darin bestünden, die Buchhaltungsfunktionen wiederherzustellen und die Produktion und den Vertrieb im Verlagsgeschäft normalisieren zu können. Die Ergebnisse würden Anfang Juli erwartet.

Während die Produktion neuer Publikationen stabil bleibt, beträgt die Auslieferung bestehender Publikationen derzeit nur ein Drittel des normalen Niveaus. Um die Auswirkungen abzumildern, ergreift Kadokawa alternative Maßnahmen, darunter eine Aufstockung des Personalbestands.

Im Web Services-Geschäft sind alle Dienste der Niconico-Familie noch immer ausgesetzt, obwohl Interimsdienste wie Niconico Video (Re: tmp) und Niconico Live Streaming (Re: tmp) bereitgestellt wurden.

Auch bestehende Dienste wie die Smartphone-Version von Niconico Manga und NicoFT wurden wieder aufgenommen.

Das Frachtgeschäft war eingeschränkt, die Versandfunktionen funktionierten normal. Ein Fehler in der Kontoauthentifizierungsfunktion von Kadokawa verhinderte jedoch, dass sich Benutzer bei bestimmten Online-Shops anmelden konnten.

Für betroffene Benutzer wurden temporäre Seiten eingerichtet. Kadokawa erklärte, dass es weiterhin Updates zu diesem Thema bereitstellen werde.

Quelle: NHK, Kyodo