Ransomware-Bande erpresst Ubisoft und Crytek

Erpressungsversuch gegen die Gaming-Anbieter Ubisoft und Crytek. Daten, die angeblich von beiden Unternehmen stammen, wurden am Dienstag auf dem Darknet Webportal der Ransomware-Bande Egregor veröffentlicht. Einzelheiten darüber, wie die Egregor-Bande an die Daten gelangt ist, bleiben unklar.

Malware-Banden wie Egregor brechen regelmäßig in Unternehmen ein, stehlen ihre Daten, verschlüsseln Dateien und fordern Lösegeld, um die gesperrten Daten zu entschlüsseln.

Bei vielen Vorfällen werden die Hacker jedoch auch während des Datenexfiltrationsprozesses erwischt und aus Netzwerken hinausgeworfen, und Dateien werden niemals verschlüsselt. Dennoch erpressen sie weiter Unternehmen, damit sie keine sensiblen Dateien durchsickern lassen. Wenn Verhandlungen scheitern, veröffentlichen Lösegeld-Banden in der Regel einen Teil der gestohlenen Dateien auf so genannten Leak-Sites.

Am Dienstag wurden gleichzeitig Lecks für Crytek und Ubisoft auf dem Egregor-Portal veröffentlicht, wobei die Lösegeldbesatzung drohte, in den kommenden Tagen weitere Dateien durchsickern zu lassen.

Was die undichte Stelle bei Ubisoft betrifft, teilte die Egregor-Gruppe Dateien, die darauf hindeuteten, dass sie im Besitz von Quellcode aus einem der Watch-Dogs-Spiele des Unternehmens waren. Auf ihrem Webportal gab die Gruppe bekannt, im Besitz des Quellcodes des Spiels Watch Dogs: Legion zu sein, das Ende dieses Monats veröffentlicht werden soll. Es war jedoch unmöglich zu verifizieren, dass diese Dateien aus dem neuen Spiel stammten und nicht aus einer bestehenden Version.

Im vergangenen Jahr haben Sicherheitsforscher versucht, Ubisoft zu erreichen und Ubisoft darüber zu informieren, dass mehrere seiner Mitarbeiter mit Phishing-Mails hereingelegt wurden. Die Nachfragen blieben ohne Ergebnis, was einen Hinweis darauf geben könnte, wie die Hacker daran gekommen sein könnten.

Aber während die Hacker nur 20 MB von Ubisoft durchsickern ließen, veröffentlichten sie 300 MB von Crytek und diese Daten enthielten viel mehr Informationen.

Die Crytek-Dateien enthielten Dokumente, die offenbar aus der Spieleentwicklungsabteilung des Unternehmens gestohlen worden waren. Diese Dokumente enthielten Ressourcen und Informationen über den Entwicklungsprozess von Spielen wie Arena of Fate und Warface, aber auch das alte soziale Spielnetzwerk Gface von Crytek.

Weder Ubisoft noch Crytek antworteten auf E-Mails, in denen sie um Kommentare zu den Lecks gebeten wurden. Keines der Unternehmen berichtete wochenlang über größere Sicherheitsvorfälle oder anormale und längere Ausfallzeiten, was darauf hindeutet, dass das Eindringen von Egregor wahrscheinlich keine Auswirkungen auf die Cloud und das Spielsystem hatte, sondern lediglich auf Backend-Büro- und Arbeitsnetzwerke, wo die meisten Lösegeldvorfälle in der Regel zu Schäden führen.

In einem E-Mail-Interview mit ZDNet USA  lieferte die Egregor-Bande jedoch weitere Einzelheiten zu den beiden Vorfällen. Die Lösegeld-Betreiber gaben an, in das Ubisoft-Netzwerk eingedrungen zu sein, aber nur Daten gestohlen zu haben und keine der Dateien des Unternehmens zu verschlüsseln.

Auf der anderen Seite „wurde Crytek vollständig verschlüsselt“, teilte die Egregor-Bande dem ZDNet mit. Die Egregor-Gruppe sagte, dass keine der beiden Firmen trotz ihres Eindringens an Diskussionen teilgenommen habe und dass bisher offiziell noch kein Lösegeld verlangt worden sei.

„Sollte Ubisoft uns nicht kontaktieren, werden wir beginnen, den Quellcode der kommenden Watch Dogs und ihrer Engine zu veröffentlichen“, drohte die Gruppe und versprach, morgen weitere Daten in einer Pressemitteilung zu veröffentlichen.