Capcom publica la última actualización sobre el ataque de ransomware

Capcom ha publicado la actualización final de su investigación sobre el gran ataque de ransomware que sufrió el año pasado. La investigación ha descubierto que los atacantes accedieron a la empresa a través de un dispositivo VPN obsoleto. A través de esta vía, los atacantes pudieron acceder a la red de la empresa, así como a cualquier dispositivo comprometido en la red.

El ataque tuvo lugar en noviembre de 2020, cuando Capcom fue blanco del ransomware Ragnar Locker. El ataque hizo que Capcom tuviera que apagar un porcentaje de su red, ya que los atacantes accedieron a los sistemas de la empresa, robaron información sensible y cifraron los dispositivos de la red.

El 4 de noviembre de 2020, Capcom emitió una declaración pública confirmando el ataque. El comunicado decía que «a partir de las primeras horas de la mañana del 2 de noviembre de 2020 algunas de las redes del Grupo Capcom experimentaron problemas que afectaron al acceso a ciertos sistemas, incluyendo el correo electrónico y los servidores de archivos. La compañía ha confirmado que esto se debió a un acceso no autorizado llevado a cabo por un tercero y que ha detenido algunas operaciones de sus redes internas a partir del 2 de noviembre.» El anuncio afirmaba que no había indicios de que la información de los clientes se hubiera visto afectada por la brecha y que Capcom estaba consultando con las autoridades sobre el incidente.

La investigación ha descubierto que una antigua VPN utilizada por el personal de la sucursal norteamericana de Capcom fue comprometida por los atacantes. La VPN se utilizó como respaldo de emergencia debido a la presión causada por Covid-19. Afortunadamente, sólo la filial norteamericana utilizaba esta VPN, ya que otras filiales del Grupo Capcom ya utilizan versiones más recientes. Desde el incidente, la VPN ha sido retirada de la red.

Tras la noticia, los expertos en seguridad han comentado el incidente:

Lewis Jones, analista de inteligencia de amenazas en Talion:

«Este fue uno de los mayores ataques de Ransomware de 2020, con un estimado de 390,000 usuarios afectados. El hecho de que Capcom haya tardado casi 6 meses en restaurar sus sistemas e investigar a fondo el ataque es una advertencia para las organizaciones de todo el mundo de que el ransomware debe tomarse en serio. A pesar de esto, Capcom afirma que, aunque se pidió un rescate, nunca se comunicó con los atacantes y no pagó la demanda. Por lo tanto, se espera que los datos violados puedan hacerse públicos, si no lo están ya.

Resulta interesante que la empresa haya confirmado que los atacantes tenían como objetivo una «VPN de respaldo más antigua» que seguía en uso debido a la mayor demanda derivada de la pandemia de Covid-19. Esto pone de manifiesto la importancia de que las organizaciones apliquen parches contra las vulnerabilidades y mantengan los sistemas actualizados.

La empresa parece haber gestionado la situación de la mejor manera posible, manteniendo a los clientes al día con declaraciones periódicas y estableciendo una línea telefónica exclusiva para Japón para las personas que deseen preguntar sobre la información personal que ha podido verse comprometida (0120-400161). Se aconseja a los clientes norteamericanos y europeos que se pongan en contacto con su servicio de atención al cliente.

Capcom ha confirmado ahora que no se han violado los datos de las tarjetas de crédito, sin embargo, se han robado los datos de un gran número de antiguos empleados y clientes. Para los clientes de Capcom que puedan verse afectados por la brecha, sean precavidos y actúen como si sus datos personales hubieran sido violados hasta que se les notifique lo contrario. Esté atento a los mensajes de texto, las llamadas y los correos electrónicos que utilicen la información compartida en este incidente y que provengan de fuentes desconocidas que exijan más información personal o pagos. Además, tenga en cuenta la contraseña que utiliza para esta cuenta, si se ha duplicado en otras cuentas personales, debería cambiarla rápidamente».

Eoin Keary, director general y fundador de edgescan:

«Lamentablemente, este es un caso de poca visibilidad en términos de superficie de ataque. El alojamiento de sistemas antiguos, obsoletos o sin parches en las redes corporativas es un vector extremadamente común para la violación de sistemas y datos. La raíz de la mayoría de los ataques contra organizaciones tanto pequeñas como empresariales son vulnerabilidades y sistemas conocidos o antiguos. Un atacante sólo necesita encontrar un problema de riesgo crítico para tener éxito. Esto se reduce a lo fundamental: la visibilidad y el mantenimiento continuo. No podemos asegurar lo que no podemos ver. Suponiendo que el personal de Capcom supiera que había una VPN «antigua», es posible que el sistema se haya actualizado o solucionado para mantener una postura segura.

La visibilidad continua y la gestión de vulnerabilidades en toda la pila ayudarían a detectar tales debilidades y la implementación de tales programas es generalmente mucho más rentable que la recuperación de un ataque de ransomware o una violación de datos.«

Bryan Embrey, director de marketing de productos de Zentry Security:

«El ataque a Capcom pone de manifiesto tanto la vulnerabilidad de los sistemas de seguridad antiguos como la dificultad de configurarlos para satisfacer las demandas de los usuarios actuales. Hay que elogiar a Capcom por haber emitido una declaración exhaustiva de las medidas adoptadas para remediar este ataque de Ragnar Locker, pero también admite que ha mejorado sus «métodos de gestión de VPN y otros dispositivos». La implementación de una solución moderna de acceso seguro de confianza cero puede reducir significativamente la compleja configuración de una VPN tradicional, al tiempo que permite una revisión más sencilla de los registros del comportamiento de los usuarios y del acceso a aplicaciones específicas. Además, la aplicación de políticas y la autenticación multifactorial son inherentes a un sistema de confianza cero, lo que garantiza que sólo los usuarios autorizados tengan acceso a la información sensible».

Jamie Akhtar, director general y cofundador de CyberSmart:

«El hecho de que una brecha tan importante como ésta se haya producido debido al uso de un servidor VPN antiguo es lamentable, sobre todo porque se hizo simplemente para adaptarse a la pandemia de Covid-19. Las organizaciones pueden tener toda la tecnología y las defensas más modernas, pero un solo descuido puede tener consecuencias importantes. Como dice el refrán, los equipos de seguridad tienen que acertar el 100% de las veces, mientras que los malos actores sólo tienen que acertar una vez. Es muy probable que muchas organizaciones se encuentren en una situación similar, haciendo concesiones para permitir el trabajo a distancia. No se puede negar la dificultad de esta situación, pero las empresas pueden empezar por asegurarse de que cumplen con las medidas básicas de ciber higiene. Esto incluye mantener el software actualizado, cambiar las contraseñas para que sean complejas y únicas, y fomentar la formación periódica en materia de seguridad.»