O bază de date care conține informațiile de conectare ale angajaților unor dezvoltatori de jocuri video de renume a fost găsită la vânzare pe dark web.

Peste 500.000 de date de conectare (nume de utilizator și parolă) aparținând angajaților a 25 producători de jocuri video cunoscuți au fost găsite la vânzare pe piețe dark web, potrivit unui raport al companiei KELA. Astfel de atacuri au vizat tot mai des industria de gaming, una dintre tehnicile folosite fiind colectarea și vânzarea ulterioară a credențialelor ce oferă acces în sistemele interne ale companiilor de gaming de top.

Compania a identificat aproape 1 milion de conturi compromise, aparținând clienților și angajaților marilor companii de gaming, jumătate dintre acestea ajungând la vânzare pe dark web în ultimul an. Interesul sporit al infractorilor față de industria jocurilor ar putea fi datorat în parte pandemiei COVID-19, care a forțat majoritatea oamenilor să lucreze  de acasă și să stea mai mult online pentru activitățile lor sociale, folosind din ce în ce mai des pentru divertisment jocurile online. Cu venituri estimate la aproape 200 de miliarde de dolari SUA până în 2022, nu este de mirare că industria jocurilor a devenit o țintă pentru infractorii cibernetici.

KELA urmărește activitatea din jurul acestor companii de peste doi ani și jumătate și a identificat conturi compromise care ar putea oferi acces la sistemele interne ale aproape tuturor producătorilor majori de jocuri. Conturile în cauză ar permite acces la sistemele software de gestionare a proiectelor, la panourile de administrare, la rețelele private virtuale (VPN) și chiar și la mediile legate de dezvoltare, printre altele. Rău voitorii ar putea provoca tot soiul de pagube, de la furtul secretelor companiei, proprietății intelectuale și datelor clienților până la implementarea de cod ransomware pe sistemele companiei, ceea ce ar putea aduce pagube considerabile la nivel financiar și reputațional.

În ultimele luni, a declarat KELA, este de remarcat că infractorii au depus eforturi susținute pentru infiltrarea în rețelele câtorva companii de gaming. „Am detectat spre exemplu, pe un computer infectat (bot), jurnale log ce duceau către o mulțime de conturi sensibile ce puteau fi accesate de atacatori după cumpărare: SSO, Kibana, Jira, adminconnect, service-now, Slack, VPN, password-manager și poweradmin - iar toate aceste vulnerabilități erau exploatabile pe un singur bot - ceea ce sugerează cu certitudine că acest sistem este folosit de un angajat al companiei ce deține drepturi de administrator”, potrivit KELA. Prețul cerut pentru un astfel de bot era mai mic de 10 USD.

Un alt articol pe aceeași temă: Gaming industry still in the scope of attackers in Asia

Din păcate, după cum subliniază și compania care a derulat acest studiu, angajații rămân unul dintre principalele puncte de acces în cazul acestor breșe, în special pentru că datele lor de acces au fost anterior compromise, în urma unor breșe ale unor terți. Aceste tipuri de credențiale nu sunt monetizate des și pot fi găsite destul de ușor pe forumurile dark web. O parte din problemă ar putea fi obiceiul utilizatorilor de a reutiliza aceeași parolă pentru multiple conturi.

„Am constatat că aceste date de acces includ, de asemenea, adrese de e-mail de profil înalt, aparținând unor angajații seniori și adrese de e-mail, care reprezintă, în general, un rol semnificativ în companie - facturi, achiziții, administratori, e-mailuri legate de resurse umane, asistență și marketing, acestea fiind doar câteva dintre exemple pe care le-am observat”, se arată în raport.

Infractorii cibernetici ar putea folosi aceste conturi pentru a derula diferite campanii de spearphishing în căutarea unor date de conectare mai valoroase, inclusiv a celor care le-ar permite accesul la cele mai sensibile părți ale rețelei unei companii. Alternativ, datele de conectare ar putea fi folosite și pentru a efectua scam-uri de tip Business Email Compromise (BEC) și alte infracțiuni.

Întrucât industria gaming-ului devine în mod constant o țintă profitabilă pentru infractori, companiile din industrie au toate motivele pentru a investii în securitatea lor cibernetică. În special merită investit în training-uri de conștientizare a riscurilor de securitate, la nivelul tuturor angajaților. În plus, companiile ar trebui să instituie politici adecvate de gestionare a parolelor care împiedice reciclarea parolelor și să implementeze sisteme de autentificare multi-factor.