以《惡靈古堡》、《魔物獵人》、《快打旋風》等暢銷遊戲知名的卡普空(CAPCOM)株式會社在 2020 年 11 月初遭到駭客攻擊,被要求支付贖金否則將公開公司內部文件。
攻擊卡普空的是自稱「Ragnar Locker」的駭客集團。在 2 日凌晨,卡普空無法連接上公司內的伺服器,被病毒感染的電腦出現來自駭客留下的訊息。他們聲稱已對所有電腦上的資料進行加密,並入侵卡普空在日本、加拿大和美國的伺服器竊取了 1TB 的內部資料並附上作為證據的截圖,威脅卡普空以難以追蹤的虛擬貨幣支付換算 1100 萬美元的贖金換取文件解密否則會將內部文件公開在網路上或賣給第三方。
Ragnar Locker 9 日在暗網(Dark web)發布英文聲明文再次要求卡普空支付贖金。有些受到勒索軟體攻擊的企業擔心個資外流會面臨訴訟的困擾所以金流有餘裕的大型企業或者有買相關保險的公司會答應支付贖金了事。但其實就算支付了贖金,也不能保證駭客集團會刪除資料。而卡普空未接受交易,11 日 Ragnar Locker 公開了公司營收和員工薪水等情報。16 日卡普空在官網上公告目前可能外流最多 35 萬筆顧客、股東、前職員、應徵者、員工個資,另外還有企業營收、交易對象、營運、開發資料等。
攻擊卡普空的 Ragnar Locker 是使用勒索軟體(Ransomware,又稱勒索病毒)。在 2010 年代後期開始遭受這種病毒攻擊的案件迅速增加,日益猖獗。以往感染此類型的病毒後,伺服器、電腦的資料會遭到破壞,駭客會留下以復原資料為條件要求支付贖金的訊息。從 2019 年底起駭客使用勒索病毒的型態發生轉變,不再進行破壞而是改用恐嚇會在網路上公開資料。會有這樣的變化是因為企業通常會對資料進行備份,所以被破壞也還能自行復原,但是如果是被威脅要公開內部資料,就算手上還有資料也沒辦法應對。手法是使用遠端操作病毒入侵企業網絡,事先竊取出機密文件,接著在伺服器內植入勒索病毒對伺服器及電腦的資料加密,對目標對象製造出資料加密和公開內部情報等雙重威脅。
日經 BP 採訪資安公司 S&J 的社長三輪信雄表示這種型態的勒索病毒是稱為「Maze」的駭客集團在去 2019 年首先使用,2020 年春天受害企業開始增加,包括韓國 LG 和美國全錄公司(Xerox)都曾受到 Maze 攻擊。順道一提,11 月初 Maze 在暗網公告停止活動,提到他們沒有接班人或合作夥伴,若之後有人使用 Maze 的名稱或手法皆是詐騙。
.jpg)
產經訪問到實際分析被用來攻擊卡普空的 Ragnar Locker 病毒的三井物產 Secure Directions(MBSD)。MBSD 發現在執行檔上有俄羅斯莫斯科的公司數位簽章(憑證)。因為有數位簽章增加可信度,可以逃過部分防毒軟體的偵測。近年也發現有駭客附加假造的數位簽章偽裝成安全檔案的手法,這次也很有可能是使用了同樣的手法。
Ragnar Locker 勒索病毒被設定不會感染使用俄羅斯、烏克蘭、烏茲別克等 12 國語言的電腦。經手資訊安全相關調查的情報安全保障研究所首席研究員山崎文明很肯定的表示「Ragnar Locker 是以俄羅斯為據點的少數精銳駭客集團」。俄羅斯的駭客集團會被俄羅斯軍方、情報機關要求協助攻擊非友好國家。作為交換,只要不把俄羅斯企業和俄羅斯人作為攻擊目標,政府會默許以金錢為目的的駭客行為。
ITmedia 採訪目前在資安公司提供協助的海外情報機關前相關人士,他提到這個使用 Ragnar Locker 勒索病毒的是俄羅斯政府相關的駭客集團「TA505」,在全球發生的大規模勒索病毒攻擊大多都和這個集團有關。TA505 從 2014 年開始進行以金錢為目的的駭客攻擊,他們會先鎖定目標再進行攻擊,反覆操作至今得手超過 1 億美元,其中兩名領導的俄羅斯人被美國通緝,其中一位還是被美國國務院及 FBI 懸賞 500 萬美元的危險人物。
在卡普空遭受攻擊的同時,義大利知名酒商金巴利(Campari)也受到同一勒索軟體攻擊,被竊取 2TB 之多的資料,Ragnar Locker 還盜用一名住在美國芝加哥的音樂 DJ 的臉書帳號,利用該帳號發文並下廣告要求金巴利支付相當 1500 萬美元的贖金。Ragnar Locker 還襲擊過印度生化企業、美國環境相關企業、旅行社、新加坡重工業、葡萄牙能源企業,跨越多國多領域,但沒有任何一家俄羅斯企業。
參考新聞來源:
2020/11/18 ITmedia カプコンを攻撃したのは誰か 「世界で最も有害」なサイバー犯罪集団の正体
2020/11/20 産経 カプコン情報流出 ロシア系組織が関与か
2020/11/20 日経BP カプコン襲ったハッカー集団の正体、経営陣を「2重苦」で恐喝
