Capcom confirma el ciberataque por ransomware fue por un dispositivo VPN antiguo

Capcom ha concluido la investigación sobre el ciberataque por ransomware Ragnar Locker que sufrió en noviembre de 2020, que provocó el robo de información personal de empleados de la compañía, documentación interna sobre juegos y proyectos aún sin anunciar.

En un documento detallan cómo sucedió el ciberataque y las las medidas de seguridad aplicaron.

En la investigación se determinó que  el número de personas cuya información comprometida fue de aproximadamente unas 15.000 personas.

Ningún dato que se expuso hace referencia a tarjetas de crédito, ya que todas las transacciones se realizan a través de la pasarela de pago de un proveedor externo.

El ciberataque se produjo por culpa de un antiguo dispositivo VPN en la sede de Capcom Norte América.

Capcom ya había migrado sus equipos a un sistema de VPN.

Debido a la pandemia del COVID19 que causó saturación de las líneas se decidió mantener la antigua VPN como backup en caso de caída de la principal.

A raíz de esto aprovecharon las vulnerabilidades de ese dispositivo.

En el informe se detalla además de todos los pasos realizados en las diferentes fechas las medidas preventivas que se pusieron en funcionamiento, incluyendo un SOC, un EDR y un Comité de Seguridad Tecnológica.

Incident Response Timeline

November 2, 2020 Detected connectivity issues with internal network. Shut down systems and began examining.
November 2, 2020 Confirmed that these issues stemmed from a ransomware attack, which encrypted data on devices on the company’s network. Discovered a threatening message from a group that calls itself Ragnar Locker on the affected devices and contacted the Osaka Prefectural Police. Requested support for system restoration from external companies.
November 3, 2020 Began contacting the relevant organizations in each country, including investigative authorities and those that oversee the protection of personal information.
November 4, 2020 Issued the press release: «Notice Regarding Network Issues due to Unauthorized Access.«
November 12, 2020 Verified that nine items of personal information and some corporate information had been compromised.
November 13, 2020 Approached external IT security specialist company regarding investigating the root cause of this matter.
November 16, 2020 Issued the press release: «Update Regarding Data Security Incident Due to Unauthorized Access.«
Continued investigation into compromised and potentially compromised data.
December 21, 2020 Held preparatory meeting ahead of the launch of the Information Technology Security Oversight Committee, which functions as an advisory group for matters related to system security with external security experts.
January 12, 2021 Issued the press release: «3rd Update Regarding Data Security Incident Due to Unauthorized Access.«
January 18, 2021 Held first Information Technology Security Oversight Committee meeting.
February 25, 2021 Held second Information Technology Security Oversight Committee meeting.
March 26, 2021 Held third Information Technology Security Oversight Committee meeting.
March 31, 2021 Received investigation findings from external IT security specialist company.
March 31, 2021 Received additional information from external software company.
April 13, 2021 Issued the press release: «4th Update Regarding Data Security Incident Due to Unauthorized Access: Investigation Results.»