Um grupo de hackers conhecido como BlackSuit assumiu a responsabilidade pelo recente ataque de ransomware à gigante editorial Kadokawa, e ameaçou divulgar dados roubados se o resgate não for pago até 1º de julho de 2024.

BlackSuit é uma gangue de ransomware notória que surgiu como uma reformulação da operação de ransomware Royal. Acredita-se que o grupo tenha laços com o agora extinto sindicato do crime cibernético Conti, um grande player no cenário de ransomware.

Embora a localização exata e as identidades dos membros permaneçam obscuras, os especialistas em segurança cibernética identificaram vários indicadores que sugerem ligações com a Rússia.

A Kadokawa reconheceu o ataque cibernético pela primeira vez no início de junho, relatando interrupções em vários sites e serviços. Desde então, a empresa tem fornecido atualizações regulares sobre seus esforços para restaurar sistemas e investigar o incidente.

No entanto, A declaração relatada pela BlackSuit em 27 de junho de 2024 revelou toda a extensão da violaçãoalegando o roubo de 1,5 terabytes de informações confidenciais, incluindo planos de negócios, dados de usuários, contratos e registros financeiros.

BlackSuit afirma ter explorado vulnerabilidades na arquitetura de rede da Kadokawa, obtendo acesso a um “centro de controle” que lhes permitiu criptografar toda a rede, afetando diversas subsidiárias, incluindo Dwango e NicoNico.

Apesar do departamento de TI da Kadokawa ter detectado a presença deles, os hackers conseguiram continuar baixando dados por vários dias antes de criptografar a rede.

O grupo de hackers afirma que a Kadokawa está negociando um acordo, mas ofereceu um resgate “extremamente baixo” para uma empresa do seu porte. Eles alertaram que os dados vazados poderiam ter consequências significativas para as operações comerciais da Kadokawa e para a privacidade de muitos cidadãos japoneses.

O resgate não foi especificado na declaração. Confira a imagem da declaração abaixo.

Em sua atualização mais recenteKadokawa garantiu aos clientes que nenhuma informação de cartão de crédito foi comprometida, pois não estava armazenada em seu sistema.

A empresa também afirmou que as suas principais prioridades eram restaurar as funções contabilísticas e normalizar a produção e distribuição no seu negócio editorial, com resultados esperados no início de julho.

Embora a produção de novas publicações permaneça estável, o envio de publicações existentes está atualmente num terço dos níveis normais. Para mitigar o impacto, a Kadokawa está a implementar medidas alternativas, incluindo o aumento dos recursos humanos.

No seu negócio de Web Services, todos os serviços da família Niconico ainda estão suspensos, embora tenham sido fornecidos serviços provisórios como Niconico Video (Re: tmp) e Niconico Live Streaming (Re: tmp).

Serviços existentes, como a versão para smartphone do Niconico Manga e o NicoFT, também foram retomados.

O negócio de mercadorias teve um impacto limitado, com as funções de transporte marítimo operando normalmente. No entanto, a falha na função de autenticação de conta da Kadokawa impediu os usuários de fazer login em certas lojas online.

Páginas temporárias foram criadas para usuários afetados. Kadokawa revelou que continuará atualizando sobre esse assunto.

Fonte: NHK, Kyodo