Kadokawa platila, podaci objavljeni?
U dinamičnom svetu japanskih medija, jedno ime stoji visoko – Kadokawa Corp. Međutim, nedavni događaji bacili su sjenku na njenu reputaciju. Kompanija se našla na nišanu ransomware napada koji je poremetio operacije u njenim odjeljenjima i razotkrio osjetljive podatke.
KADOKAWA SAJBER NAPAD
U junu 2024. godine, Kadokawa Corp., istaknuti japanski medijski gigant poznat po svojim obimnim poslovima izdavaštva, filma i internet usluga, pretrpio je razorni ransomware napad. Ovaj sajber napad ciljao je servere kompanije, uključujući sisteme koji podržavaju njihovu popularnu platformu za video reprodukovanje u realnom vremenu (eng. video-streaming) Niconico i srodne usluge. Počinioci ovog zlonamjernog čina bili su niko drugi do zlonamjerna ransomware grupa BlackSuit povezana sa Rusijom koja je preuzela odgovornost za napad nedjeljama pre njegovog početka.
Infiltracija u Kadokawa mrežu od strane BlackSuit grupe zlonamjernih aktera je počela prikriveno, pri čemu je grupa iskorištavala ranjivosti u sistemu da bi dobila pristup ogromnoj količini osjetljivih podataka. Ovo je uključivalo podatke o zaposlenima, ugovore i finansijske zapise koji su bili uskladišteni na serverima kompanije. Napad je ozbiljno poremetio operacije u Kadokawa odjeljenjima, uzrokujući rasprostranjeni haos i neizvesnost među zaposlenima i zainteresovanim stranama.
Ransomware napad je bio značajan udarac za medijski pejzaž Japana, pošto je Kadokawa Corp. jedan od vodećih igrača u zemlji u proizvodnji manga, anime i video igara. Kompanija je potvrdila da su neki od njenih podataka – uključujući ugovore, interne dokumente i lične podatke svih zaposlenih – ugroženi nakon napada.
Posljedice
Ransomware napad je ozbiljno poremetio operacije u Kadokawa odjeljenjima. Niconico usluge su suspendovane nedjeljama, što je primoralo kompaniju da implementira privremene platforme za održavanje funkcionalnosti. Izdavaštvo i rad sa robom takođe su se suočili sa značajnim kašnjenjima, što je dodatno opterećivalo reputaciju i finansije kompanije. Napad je rezultirao krađom i šifrovanjem približno 1,5 TB osjetljivih podataka, uključujući ugovore, interne dokumente kompanije, lične podatke svih zaposlenih, kao i finansijske evidencije.
Podružnica Niconico, glavna lokacija za objavljivanje video zapisa u Japanu, bila je značajno pogođena ovim napadom, jer je privremeno zatvorila svoju platformu za reprodukovanje u realnom vremenu i korisničke kanale na nekoliko nedjelja. Da bi održala funkcionalnost, Kadokawa Corp. je implementirala privremene platforme za održavanje operacija tokom zastoja. Odjeljenja za izdavaštvo i prodaju takođe su se suočila sa značajnim kašnjenjima zbog incidenta, što je dodatno opteretilo poslovanje kompanije.
Finansijski gubici
U izjavi datoj u novembru, Kadokawa Corp. je objelodanila svoja očekivanje da će zabilježiti izuzetan gubitak od nevjerovatnih 2,3 milijarde jena (15 miliona američkih dolara) u fiskalnoj godini koja se završava martom 2025. godine kao direktan rezultat razornog sajber napada koji su pretrpili u junu 2024. godine. Ovo alarmantno značajan finansijski neuspjeh služi kao dobar podsjetnik na katastrofalne posljedice koje takvi digitalni napadi mogu nanijeti na buduće planove i stabilnost organizacije.
Ova objava u formi zvanične izjave naglašava dubok uticaj koji je ovaj sajber napad imao na njihovo finansijsko zdravlje. Izuzetan gubitak koji očekuju da će pretrpjeti je direktna posljedica napada, koji je poremetio njihove operacije i nanio značajnu štetu njihovim sistemima, posebno onima smještenim u njihovom centru podataka, uključujući glavne video platforme.
Finansijski udar sa kojim se Kadokawa Corp. suočava kao rezultat ovog sajber napada nije samo izolovani incident, već pre talas talasa koji će odjekivati kroz poslovanje kompanije u narednim mjesecima, ako ne i godinama. Gubitak od 2,3 milijarde jena predstavlja više od samo monetarne vrijednosti; simbolizuje poremećaj i haos izazvan napadom, resurse preusmjerene ka naporima za oporavak i potencijalne dugoročne posljedice po njihov poslovni model i reputaciju.
Finansijski uticaj ovog sajber napada je posebno značajan za Kadokawa Corp. zbog njegove veličine i obima kao istaknute japanske izdavačke kompanije. Gubitak koji očekuju nesumnjivo će opteretiti njihova finansijska sredstva, potencijalno ih prisiljavajući da donesu teške odluke u vezi sa izdvajanjem budžeta, nivoom osoblja i budućim mogućnostima ulaganja. Ovo bi moglo dovesti do smanjene operativne efikasnosti, kašnjenja vremenskih rokova projekta ili čak odlaganja ključnih inicijativa koje su od suštinskog značaja za nastavak rasta i uspeha kompanije.
Štaviše, finansijski gubitak sa kojim se Kadokawa Corp. suočava kao rezultat ovog sajber napada nije samo teret za njihovu tekuću fiskalnu godinu, već ima i implikacije za buduće godine. Izuzetan gubitak koji očekuju da će imati vjerovatno će uticati na njihovu profitabilnost, potencijalno smanjujući njihovu sposobnost da ulažu u istraživanje i razvoj, marketinške napore ili druge strateške inicijative koje su ključne za dugoročni rast i konkurentnost u izdavačkoj industriji.
Pored neposrednih finansijskih posljedica, Kadokawa Corp. sajber napad nosi i potencijalne dugoročne implikacije na njihovu reputaciju i položaj u japanskoj poslovnoj zajednici. Javno objavljivanje značajnog finansijskog gubitka uslijed sajber napada može dovesti do toga da investitori, partneri i klijenti dovode u pitanje sposobnost kompanije da efikasno upravlja rizikom i održava robusne mjere bezbjednosti. Ovo bi potencijalno moglo uticati na privlačnost Kadokawa Corp. kao investicione prilike ili partnera, što bi zauzvrat moglo uticati na njihove dugoročne izglede za rast.
Navodna isplata otkupnine?
U pozadini ransomware napada na Kadokawa Corp. pojavili su se izvještaji koji sugerišu da je organizacija platila otkup od oko 2.98 miliona američkih dolara u kripto valuti grupi zlonamjernih aktera BlackSuit povezanoj sa Rusijom. Međutim, neophodno je razjasniti da su ovi izvještaji nezvanični i da ih nije potvrdio sama kompanija, što daje prizvuk misterije i spekulacije ovoj ionako složenoj situaciji.
Prema različitim izvorima, oko 44 bitkoina u vrijednosti od približno 2,98 miliona američkih dolara u junu 2024. godine je prebačeno na račun kriptovalute povezan sa BlackSuit zlonamjernim akterima. Elektronske poruke koje su zlonamjerni akteri poslali rukovodiocima Kadokawa Corp. potvrdili su ovu uplatu i otkrili da bi oni pristali da izbrišu ukradene podatke samo ako je otkupnina plaćena u roku od 48 sati.
Uprkos ovim pregovorima, pojavili su se izvještaji koji sugerišu da je BlackSuit grupa ipak objavila 1,5 TB ukradenih podataka nakon uplate. Ova objava podatka je dodatno podstaklo debate o etici i efikasnosti pregovora o otkupnini u takvim situacijama. Stručnjaci upozoravaju da plaćanje otkupa često ohrabruje zlonamjerne aktere, koji bi mogli nastaviti da prijete svojim žrtvama ili da se bave sličnim aktivnostima u budućnosti.
Odbijanje Kadokawa Corp. da zvanično potvrdi ove izvještaje dodalo je element neizvesnosti i intrige ovom incidentu. Kompanija je navela tekuće policijske istrage kao razlog za ćutanje o ovom pitanju. Međutim, detalji plaćanja koji su procurili ponovo su pokrenuli rasprave o potencijalnim posljedicama upuštanja u pregovore o otkupnini sa sajber kriminalcima.
Ključno je napomenuti da je odluka Kadokawa Corp. da plati ili ne plati otkup njihova sopstvena i da treba da se zasniva na različitim faktorima, uključujući osjetljivost podataka koji su u opasnosti, potencijalni uticaj na njihove operacije i vjerovatnoću povratka ukradenih informacija bez plaćanja. U ovom slučaju, izgleda da je Kadokawa Corp. odabrala da pregovara sa BlackSuit grupom zlonamjernih aktera, ali rezultat je bio manje nego idealan zbog naknadnog objavljivanja osjetljivih podataka.
Potencijalna akvizicija
Usred ove burne situacije u kojoj se japanski izdavač Kadokawa Corp. nalazi nakon razornog sajber napada, čini se da na horizontu postoji tračak nade. Još jedan japanski tehnološki gigant – Sony Corporation – je izrazila interesovanje za kupovinu imovine i operacija Kadokawa Corp.
Ova potencijalna akvizicija je naišla na široko odobravanje većine Kadokawa Corp. osoblja, koji su izrazili svoje nezadovoljstvo trenutnom administracijom u kompaniji. Razlog za to se vjerovatno krije u tome što je Kadokawa Corp. uglavnom ostala nijema, propustivši da održi konferenciju za štampu ili da da bilo kakvu zvaničnu izjavu u vezi sa ransomware napadom. Ovaj nedostatak transparentnosti i komunikacije od strane menadžmenta samo je pojačao frustraciju zaposlenih i nezadovoljstvo trenutnom administracijom.
Potencijalna akvizicija od strane kompanije Sony nudi novi početak za mnoge unutar Kadokawa Corp. koji smatraju da su njihove brige ignorisane pod trenutnim rukovodstvom. Vijest o ovom mogućem dogovoru dolazi u zanimljivom trenutku, jer se poklapa sa najavom Kadokawa Corp. u novembru u vezi sa vanrednim gubitkom.
Sony Corporation je ugledni i etablirani tehnološki gigant u Japanu, sa jakom reputacijom za inovacije i korisničku podršku. Kompanija je pokazala interesovanje za proširenje svog portfelja kupovinom Kadokawa Corp., što bi joj omogućilo pristup opsežnoj biblioteci intelektualne svojine i medijske imovine. Ova akvizicija bi potencijalno mogla da revitalizuje obije kompanije, jer Sony nastoji da diverzifikuje svoju ponudu dok Kadokawa Corp. traži novi početak pod novim vođstvom.
Vest o ovom potencijalnom ugovoru naišla je na oduševljenje mnogih u redovima Kadokawa Corp. osoblja. Izvještaji lokalnih medija sugerišu da zaposleni na ovu akviziciju gledaju kao na priliku za pozitivnu promjenu, izražavajući svoje nezadovoljstvo trenutnom administracijom i njenim postupanjem u vezi sa posljedicama sajber napada. Nedostatak komunikacije menadžmenta u vezi sa napadom samo je podstakao nezadovoljstvo zaposlenih, čineći novi početak pod novim vlasništvom još privlačnijim.
Pored potencijalnih koristi koje bi ova akvizicija mogla da donese Kadokawa Corp. osoblju i operacijama, postoje i implikacije za Sony. Kupovinom Kadokawa Corp., Sony bi dobio pristup širokoj biblioteci intelektualne svojine i medijskih sredstava, koje bi mogao da iskoristi na različite načine da proširi sopstvenu ponudu i poveća prihode. Međutim, proces nabavke će vjerovatno biti složen i prepun izazova, s obzirom na osjetljivu prirodu sajber napada na Kadokawa Corp. i lične podatke koji su kao rezultat toga bili izloženi.
BLACKSUIT RANSOMWARE
BlackSuit ransomware se pojavio u maju 2023. godine i brzo je postao zloglasan. Ova ransomware operacija, poznata po svojoj svestranosti na Windows i Linux operativnim sistemima, predstavlja značajnu prijetnju kako za velika preduzeća, tako i za mala i srednja preduzeća širom svijeta.
BlackSuit je veoma sposobna privatna grupa ransomware zlonamjernih aktera, a ne operacija po modelu ransomware kao usluga (eng. ransomware-as-a-service – RaaS). Zlonamjerni akteri koriste taktiku dvostruke iznude, vrše krađu osjetljivih podataka prije šifrovanja datoteka i zahtevaju plaćanje kako ne bi objavili podatke, kao i plaćanje ključeva za dešifrovanje datoteka. Primjetno je da je BlackSuit promijenio ime iz Royal ransomware, ali to nije samo rebrendiranje; ova grupa ima nekoliko poboljšanih mogućnosti u poređenju sa prethodnikom.
Način funkcionisanja ove ransomware grupe zlonamjernih aktera uključuje isporuku korisnog tereta (eng. payload) putem phishing elektronske pošte ili radnih okvira trećih strana kao što su Empire, Metasploit i Cobalt Strike. Pored toga, u nekim slučajevima primijećena je upotreba zlonamjernih torrent datoteka. Jednom u sistemu, BlackSuit koristi OpenSSL implementaciju AES algoritma za šifrovanje podataka, nudeći povremene opcije šifrovanja.
Ciljanje BlackSuit ransomware grupe zlonamjernih aktera nije specifično ni za jednu industriju ili vrstu mete; međutim, do sada su favorizovani subjekti u sektoru zdravstva, obrazovanja, informacionih tehnologija (IT), vlade, maloprodaje i proizvodnje. Zanimljivo, čini se da su mete u Zajednici nezavisnih država (ZND), političkoj i ekonomskoj zajednici 11 zemalja bivših članica Sovjetskog Saveza, isključene iz ovih operacija.
Posljedice napada BlackSuit ransomware grupe mogu biti ozbiljne za pogođena preduzeća, što može dovesti do gubitka podataka, zastoja sistema i finansijskih gubitaka, jer je ova grupa zlonamjernih aktera pokazala sposobnost pristupa ogromnim količinama osjetljivih podataka, značajno ometajući poslovne operacije.
ZAKLJUČAK
Priča o Kadokawa Corp. služi kao opomena o opasnostima koje vrebaju u današnjem digitalnom dobu. Ona naglašava važnost snažnih mjera sajber bezbjednosti, razboritog donošenja odluka i transparentnosti u vremenima krize.
Ransomware napad na Kadokawa Corp. je rezultirao krađom i curenjem osjetljivih podataka, uključujući podatke o zaposlenima, ugovore, finansijske evidencije, interne dokumente kompanije i lične podatke o svim zaposlenima. Sve to je imalo dalekosežne posljedice po poslovanje kompanije u različitim odjeljenjima, kao i pokrenuo debatu o tome da li je plaćanje otkupa odgovarajući odgovor na ovakve napade. Ovaj incident služi kao podsjetnik na važnost snažnih mjera sajber bezbjednosti i planova za reagovanje na incidente u današnjem digitalnom pejzažu.
Prateći razvoj ove priče, treba imati na umu da se svaka organizacija suočava sa sopstvenim jedinstvenim izazovima, ali sa otpornošću, prilagodljivošću i posvećenošću učenju iz prošlih grešaka, čak i narativi sa najvećim problemima mogu pronaći put ka svjetlijoj budućnosti.
ZAŠTITA
Napad na Kadokawa Corp. od strane ozloglašene BlackSuit ransomware grupe služi kao dobar podsjetnik na nepredvidivu prirodu i potencijalnu štetu koju ransomware napadi mogu da izazovu. U nastavku će biti navedeno nekoliko preporuka za zaštitu organizacija od ovakvih prijetnji:
- Snažna politika sajber bezbjednosti je osnova na kojoj počiva odbrana od BlackSuit ransomware grupe (ili bilo koje druge ransomware grupe). Ova politika bi trebalo da obuhvati redovna ažuriranja softvera, politike jakih lozinki i obuku zaposlenih o prepoznavanju phishing i druge taktike društvenog inženjeringa,
- Da bi se spriječio neovlašteni pristup serverima, potrebno je primijeniti segmentaciju mreže, implementirati zaštitne zidove i sisteme za otkrivanje upada (eng. intrusion detection systems – IDS). Potrebno je i redovno nadgledati ove sisteme za bilo kakvu neuobičajenu aktivnost ili potencijalne prijetnje. Pored toga, uvjeriti se da su sve udaljene veze bezbjedne i pažljivo nadgledane,
- Redovne rezervne kopije kritičnih podataka mogu pomoći da se smanji uticaj ransomware Uvjeriti se da strategija pravljenja rezervnih kopija organizacije uključuje skladištenje van mreže kako bi se spriječilo da i rezervna kopija bude šifrovana. Redovno testirati rezervne kopije kako bi se osigurao njihov integritet i pristupačnost u slučaju nužde,
- Softverska riješenja za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) mogu pomoći da se efikasnije otkriju, istraže i reaguje na prijetnje na krajnjim tačkama. Ovi softveri pružaju uvid u aktivnosti koje se dešavaju u mreži u realnom vremenu, omogućavajući rano identifikaciju potencijalnih napada i preduzimanje pravovremenih mjera,
- Autentifikacija u više koraka (eng. Multi-Factor Authentication – MFA) dodaje još jedan sloj bezbjednosti zahtjevajući od korisnika da verifikuju svoj identitet korišćenjem više metoda pre nego što dobiju pristup osjetljivim podacima ili sistemima. Ovo značajno smanjuje rizik od neovlaštenog pristupa, čak i ako je lozinka ugrožena,
- Održavati sav softver ažurnim sa najnovijim ažuriranjima i bezbjednosnim ispravkama. Zastarjeli softver može da pruži laku ulaznu tačku za ransomware napade, pošto softverske ranjivosti često iskorištavaju zlonamjerni akteri,
- Potrebno je imati dobro definisan plan odgovora na sajber prijetnju kako bi se osiguralo da je organizacija spremna da se efikasno nosi sa potencijalnim napadom. Ovaj plan treba da navede korake koje treba preduzeti tokom napada, uključujući izolaciju podataka, zadržavanje prijetnji i procedure oporavka,
- U slučajevima kada dođe do ransomware napada, neophodno je sarađivati sa agencijama za sprovođenje zakona u svrhu istrage. Dijeljenje obavještajnih podataka o napadačima može pomoći u praćenju njihovih aktivnosti i potencijalnom sprečavanju budućih napada na druge organizacije,
- Sajber bezbjednost je stalan proces koji zahteva stalnu budnost. Redovno pregledati bezbjednosne mjere organizacije, ažurirati ih po potrebi i biti informisan o novim prijetnjama kako bi se obezbijedila najbolja moguća zaštita od BlackSuit ransomware grupe ili bilo koje druge sajber prijetnje.