Nachdem publik wurde, dass CD Projekt RED Opfer einer Cyber-Attacke wurde und bereits einschlägige Redaktionen darüber berichteten, machen nun die Angreifer ernst und beginnen mit den ersten Leaks. Zuerst begann man damit, den Source Code des Spiels GWENT zu leaken.
Dies ist ein Update zum vorherigem Artikel, siehe hier!
CD Projekt stellte sofort klar, dass man nicht mit den Angreifern verhandeln werde, stattdessen aber diverse Behörden mit dem Fall beauftragte. Keine unerwartete Entscheidung, schließlich hatte CD Projekt schon damals bei einem Cyberpunk-Leak nicht klein bei gegeben und die Informationen der Öffentlichkeit überlassen. Man stellte später noch einmal auf Twitter klar, dass die Angreifer sehr wahrscheinlich keine Daten auch von Ex-Mitarbeitern haben ergattern können, man aber trotzdem aktuell sehr vorsichtig sein soll.
Damit blieb dem Angreifer nichts übrig, als nun der Öffentlichkeit die Source Codes bereitzustellen, damit seine Drohung weiterhin Gewicht hat. Am 10. Februar dann konnte man für kurze Zeit auf Mega.nz einen Download finden, über den man den gesamten Source Code des besagten Spieles GWENT herunterladen konnte. Zwar wurde der Download baldig wieder offline genommen, doch Kollegen der "cybernews" konnten über 4Chan einen anderen Download finden und so Einblick in die gestohlenen Codes gewinnen, siehe den Screenshot unten.
Das Archiv, in dem die Source Codes aufzufinden sind, wurde als "Nummer 1" der Leaks benannt und eine readme.txt-File kündigt für den heutigen Tage einen weiteren Leak an. Anhand der Metadaten lässt sich erahnen, dass der Hack und vor allem die Exfiltration der Daten am 6. Februar geschah.
Man vermutet, dass der Leak auf einen Autor auf einem Hacking-Forum zurückgeht, der in der Vergangenheit mit Ransomware arbeitete oder zumindest damit vertraut ist. Dieser Autor hat bereits in der Vergangenheit detailliert in Topics über Cobalt Strike geschrieben, einem Open-Source Ransomware-Code, und schrieb auch diverse Tutorials dazu sowie Tools und Links zu Exploits, Privilege Escalation und Kryptographie. Damit scheint er den Anforderungen, einen derartigen Ransomware-Angriff zu starten, gewachsen zu sein.
Cobalt Strike soll eines der an den meistbenutzten Ransomware-Methoden sein, die man nach dem eigentlichen Breach verwendet, da es einen konstanten Tunnel zwischen Ziel und Angreifer erstellt, um so die Daten zu überliefern und gleichzeitig einen Cryptolocker zu schicken, um Daten zu encrypten.
Gegenüber Cybernews sagt Luca Mella, ein "ransomware expert", dass "basierend auf der Ransomware-Notiz und der Emsisoft intelligence KB, der Angreifer vermutlich zu der Ransomware-Gruppe HelloKitty gehört." Die Gruppe könnte ziemlich neu sein und nach einem derartigen Angriff schnell an Zuwachs gewinnen, so Mella. CD Projekt ist ein hochwertiges Ziel und würde viel in der Underground-Gaming-Szene diskutiert werden. Gleichzeitig würde Mella in vielen weiteren Foren sehen, wie andere Mitspieler die Daten weiterverbreiten oder zum Verkauf anbieten.
Zu guter Letzt scheint es so zu sein, dass ein weiterer Autor, nicht der, der den Angriff vermutlich gestartet hatte, den weiteren Leak als Auktion angekündigt hat. Inbegriffen seien die Source Codes von The Witcher 3, Thronebreaker, Witcher 3 RTX und Cyberpunk 2077, starten soll es noch am 11. Februar. Angeblich würde um 1 Uhr Mittags (Moskau Zeitzone) die Auktion beginnen und man darf nur mit teilnehmen, sofern man mindestens 0.1 Bitcoins in dem Forum hinterlegt hat, was etwa 3700 € entspräche.
Die Echtheit über die Auktion kann dabei nicht bestätigt werden.
Cybernews konnte ebenfalls mehr Details zu der Art der Daten erhalten, die versteigert werden sollen. Dabei handle es sich augenscheinlich um die Red Engine zu halten, die spezifisch für das Spiel The Witcher erstellt wurde.
Ferner wir mehr erfahren können und neue Infos über Quellen ans Licht kommen, lassen wir es euch wissen!
Quelle: Cybernews
