Nie było żadnej aukcji, nie było sprzedaży danych? Nowy trop dzieli specjalistów w sprawie wycieku CD Projekt
Kilka dni temu informowaliśmy o licytacji skradzionych danych CD Projektu, przeprowadzonej w Dark Webie. Dwa wiarygodne źródła informowały o zakończeniu aukcji oraz ofercie spoza systemu, na którą zdecydowali się złodzieje. Teraz do głosu dochodzą inni specjaliści, podważający wcześniejsze ustalenia.
O przeprowadzonej licytacji donosiły dwa niezależne od siebie źródła, zajmujące się monitorowaniem Dark Webu oraz przepływu nielegalnych dóbr i informacji. Obie organizacje informowały o możliwości sprzedaży danych CD Projektu podmiotowi spoza systemu aukcyjnego, oferującemu hakerom nawet kilka milionów dolarów. Teraz do głosu dochodzą inni specjaliści, powątpiewający w taki rozwój wydarzeń.
Analityk z Emsisoft uważa, że nie było żadnej transakcji za miliony dolarów, a hakerzy próbują zachować twarz.
Brett Callow pracuje w firmie Emsisoft jako analityk zagrożenia. We wpisie na oficjalnym firmowym blogu Callow uważa, że od transakcji za miliony dolarów znacznie bardziej prawdopodobny jest inny scenariusz. Nie ma w nim bogatego nabywcy, za to hakerzy wyłącznie udają, że udało im się sprzedać dane skradzione z serwerów grupy CD Projekt - w tym kody źródłowe gier Cyberpunk 2077, Gwint, Wiedźmin 3 oraz Wiedźmin 3 RTX (nazwa robocza).
Za tezą Callowa przemawiają znalezione przeze mnie dane, według których średni „okup“ za skradzione cyfrowe dobra firmy wynosi od 20 do 40 tysięcy dolarów. To znacznie, znacznie mniej niż rzekome kilka milionów. I chociaż kod źródłowy bez wątpienia jest łakomym kąskiem dla wielu podmiotów - chociażby przez pryzmat tworzenia exploitów do Gwinta czy Cyberpunka Online - zdaniem niektórych komentatorów nie jest to zdobycz warta kilka milionów dolarów.
Statystycznie aż 70 proc. korporacji decyduje się na zapłatę szantażystom, aby sprawa nie trafiła do opinii publicznej. Polska spółka obrała jednak inną drogę, nazywaną przez część specjalistów od cyberbezpieczeństwa złotym standardem. CD Projekt nie tylko nie zgodził się na negocjacje ze złodziejami, ale również opublikował ich wiadomości i publicznie poinformował o skutecznym ataku. W takiej sytuacji hakerom nie pozostało nic innego, jak próbować zachować twarz i wykreować zakończoną sukcesem sprzedaż.
Niewykluczone, że złodzieje próbowali jednocześnie zarobić na zdobytych danych w inny sposób, wykorzystując nielegalnie pozyskane dane pracowników grupy CD Projekt do zaciągania kredytów. Piotr Grabiec pisał o tym wątku w osobnym materiale.
To nie byłby pierwszy raz, kiedy hakerzy próbują wyjąć z twarzą po nieudanej próbie wyłudzenia.
Brett Callow z Emsisoftu przypomina sytuację sprzed kilku miesięcy, kiedy cyberprzestępcy należący grupy REvil pozyskali mailową korespondencję dotyczącą Donalda Trumpa. Zhakowana firma prawnicza odmówiła zapłacenia „okupu“, chociaż była szantażowana upublicznieniem kompromitujących materiałów na temat prezydenta Stanów Zjednoczonych. Ostatecznie REvil nigdy nie opublikował zdobytych danych. Grupa twierdziła, że udało się je sprzedać, ale większość specjalistów z zakresu cyberbezpieczeństwa wątpiła w taki rozwój wydarzeń.
Niewykluczone, że atak na CD Projekt zakończył się dokładnie tak samo. Hakerom nie udało się wymusić na polskiej spółce okupu i nie udało się zaciągnąć nielegalnych kredytów, a internetowa licytacja w Dark Webie oraz nabywca z kilkoma milionami dolarów w kieszeni to tylko przykrywka dla ich niepowodzenia. Jak jest naprawdę, zapewne dowiemy się w przeciągu następnych dni i tygodni.