CD Projekt RED (CDPR), el desarrollador de videojuegos polaco detrás de Cyberpunk 2077 o de la serie The Witcher, ha vivido una semana muy complicada al haberse visto afectado por un ataque de ransomware en el que los hackers consiguieron acceder a sus sistemas internos y robar el código de fuente de varios de sus juegos. La empresa informó de ello el día posterior a sufrir el ciberataque, el pasado martes 9 de febrero, publicando un comunicado en su cuenta de Twitter junto a la nota que les dejaron los hackers a modo de chantaje. En ella se podía leer cómo les amenazaban con filtrarlo si no pagaban un rescate y, ante la rotunda negativa de CD Projekt, están cumpliendo su palabra.
Primero distribuyeron por la red el código fuente de su videojuego de cartas Gwent: The Witcher Card Game y después pasaron a subastar por millones de dólares el resto de datos robados.
La subasta de Cyberpunk 2077, The Witcher 3 y otros datos robados
Según informa The Verge, los hackers han vendido el código fuente de Thronebreaker: The Witcher Tales, el de Cyberpunk 2077, el de The Witcher 3, otra versión más de este videojuego G con ray-tracing, así como una serie de documentos internos de CD Projekt RED.
La organización de monitoreo de la dark web KELA ha publicado varias capturas que verifican esta subasta, que tuvo lugar en un foro de piratería llamado Exploit y que se cerró este pasado jueves 11 de febrero. Según KELA, la puja inicial era de un millón de dólares, pero también se podía comprar directamente pagando 7 millones de dólares.
"Última hora: #CDProjektRed LA SUBASTA ESTÁ CERRADA. #Hackers subastaron el código fuente robado de los lanzamientos del juego #RedEngine y #CDPR, y acaban de anunciar que se recibió una oferta satisfactoria de fuera del foro, con la condición de que no se distribuya ni se venda más", escribió KELA en su mensaje.
La cuenta de ciberseguridad de Twitter @vx-underground también confirmó posteriormente que la subasta se había cerrado compartiendo esta publicación.
El comprador de estos datos y los hackers detrás de este ataque
Se desconoce quién ha sido el comprador ni cuánto dinero ha pagado por este material robado a CD Projekt y ahora la gran incógnita es qué piensa hacer con ello.
El código podría utilizarlo para compilar versiones no autorizadas de los videos juegos y redistribuirlas, como base para otros proyectos derivados de este código (lo que sería complicado sin ser perseguido por las fuerzas de seguridad), o como vectores de todo tipo de malware. En el caso de Cyberpunk 2077, la venta de copias seria defectuosa, ya que hay que tener en cuenta que el juego se lanzó con numerosos fallos y que CD Projekt continúa trabajando en arreglar, ante la decepción de millones de jugadores de todo el mundo, y que también afectarán al código robado.
Respecto a los hackers que se encuentran detrás de este ciberataque cabe señalar que no han sido identificados oficialmente. Sin embargo, un investigador de seguridad de Emsisoft se lo ha atribuido a una banda de ransomware que opera bajo el nombre de HelloKitty: "Es ridícula la cantidad de personas que piensan que esto fue hecho por un jugador descontento. A juzgar por la nota de rescate que se compartió, esto lo hizo un grupo de ransomware que rastreamos como 'HelloKitty'. Esto no tiene nada que ver con los jugadores descontentos y es solo un ransomware corriente".
CD Projekt RED guarda silencio desde que informó del ciberataque
CD Projekt no ha hecho ninguna declaración respecto a esta subasta que han llevado a cabo los hackers con sus datos robados y, hasta este momento, su última publicación en Twitter es el comunicado en el que anunciaron que había sufrido un "ciberataque deliberado, por el cual algunos de nuestros sistemas internos han sido comprometidos". No es mucho, pero sí un destacado ejercicio de transparencia que, a pesar del impacto de esta noticia, ha sido celebrado por las empresas de gestión de crisis, las cuales siempre insisten en la necesidad de reconocer, en cuanto antes, el ataque para actuar con premura.
"Un agente no identificado consiguió acceso no autorizado a nuestra red interna, compiló ciertos datos pertenecientes al grupo capital de CD PROJEKT y dejaron una nota a modo de chantaje que hacemos pública", señalaba la compañía polaca.
En la nota de los atacantes, estos afirmaban haber obtenido copias del código de fuente de videojuegos como Cyberpunk 2077, The Witcher 3, Gwent y de una versión "no lanzada" de The Witcher 3, así como documentos relativos a contabilidad, administración, recursos humanos y relaciones financieras. "Si no llegamos a un acuerdo, los códigos fuente se venderán o se filtrarán en línea, y sus documentos se enviarán a nuestros contactos del periodismo de videojuegos", amenazaban los ciberdelincuentes, que también les advertían con que dilapidarían su imagen pública. "Tenéis 48 horas para contactarnos", concluía su misiva dando un margen que han terminado cumpliendo.
En su comunicado, CD Projekt también aclaraba que "aunque algunos de los dispositivos de nuestra red se han visto encriptados, nuestras copias de seguridad permanecen intactas. Ya hemos protegido nuestra infraestructura IT y hemos comenzado a restaurar los datos". Además, aseguraba que no se han visto comprometidos datos personales.
Su rotunda negativa a negociar y las medidas tomadas
A pesar de la amenaza de una filtración sensible, CD Projekt se mostró implacable al afirmar que no iba a ceder al chantaje ni a negociar con los hackers.
"No sucumbiremos a las exigencias ni negociaremos con el actor, siendo conscientes de que esto eventualmente puede conllevar la publicación de los datos comprometidos. Estamos tomando los pasos necesarios para mitigar las consecuencias de tal publicación, en particular aproximándonos a cualquier parte que pueda verse afectada ante esta infracción.
"Todavía estamos investigando el incidente, pero en este momento podemos confirmar que – de acuerdo con los conocimientos que disponemos – los sistemas que se han visto comprometidos no contenían ninguna información personal de los jugadores o usuarios de nuestros servicios".
La compañía también subrayó que se ha puesto en contacto con las autoridades pertinentes, incluidas fuerzas policiales y el Presidente de la Oficina de Protección de Datos Personales, así como especialistas de informática forense, y que "cooperaremos estrechamente con ellos para investigar hasta el fondo este incidente".
Su segundo ciberataque, el cuarto en la industria del videojuego en el último año
Se cree que esta es la segunda vez que CD Projekt es víctima de un ataque de ransomware. En 2017, la empresa polaca sufrió un incidente similar que comprometía documentos relacionados con los primeros diseños de Cyberpunk 2077 sin que el videojuego se hubiese estrenado todavía. CD Projekt también se negó a pagar el rescate que solicitaban los hackers e informó de ello a través de su cuenta de Twitter.
Con este nuevo ciberataque, CD Projekt Red se convierte ahora en el cuarto gran estudio de videojuegos en sufrir un ataque de ransomware en los últimos 12 meses, después de los ataques a Ubisoft y Crytek por parte de la banda Egregor, y el ataque a Capcom por parte de la banda Ragnar Locker.