De aanvallers die gameontwikkelaar Capcom vorig jaar november met ransomware infecteerden wisten via een oude vpn-server die als back-up werd gebruikt binnen te komen. Dat heeft het bedrijf in een update over het incident bekendgemaakt. Voordat de aanvallers hun ransomware uitrolden maakten ze allerlei persoonlijke informatie buit van medewerkers, sollicitanten, aandeelhouders en klanten. Het ging om data van 390.000 mensen.
Naar aanleiding van de aanval werd er een onderzoek ingesteld. Daaruit blijkt dat de aanvallers via een oudere vpn-server wisten binnen te komen die als back-up bij een Noord-Amerikaanse dochteronderneming was geplaatst. Zowel Capcom als de dochteronderneming maakten gebruik van een nieuwer vpn-systeem, maar vanwege de coronapandemie werd besloten een oudere vpn-server als back-up achter de hand te houden. Deze server werd vervolgens het doelwit van de aanval. Om wat voor aanval het precies ging is niet bekendgemaakt.
Nadat de aanvallers toegang tot de oude vpn-server hadden gekregen wisten ze systemen van zowel de Amerikaanse dochteronderneming als Capcom in Japan te infecteren. Vervolgens werden allerlei gegevens gestolen. Capcom meldt dat het bezig was om allerlei beveiligingsmaatregelen te treffen, zoals een security operations center (SOC) en endpoint detection and response (EDR), maar die waren vanwege de coronapandemie nog niet geïmplementeerd.
De aanvallers besloten de ransomware op 1 november uit te rollen, wat voor problemen met mail- en fileservers zorgde. Capcom wist de systemen naar eigen zeggen snel te herstellen en heeft het losgeld dat de aanvallers vroegen niet betaald. Daarop maakten die de gestolen gegevens openbaar. Inmiddels is de oude vpn-server verwijderd en heeft Capcom een SOC-service geïntroduceerd die externe verbindingen monitort en wordt door middel van EDR verdachte activiteiten op systemen gedetecteerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.