Informacje o cyberatakach są coraz powszechniejsze, ale wtorkowa zelektryzowała cały rynek. Tym razem ofiarą hakerów padł CD Projekt – duża giełdowa spółka i wiodący producentów gier na świecie. Poinformował o ataku we wtorek rano na Twitterze.

Skala ataku wydaje się poważna. Nieznani sprawcy pozostawili notatkę, w której informują, że przejęli wszystkie dane dotyczące „Cyberpunka 2077", „Wiedźmina 3" i „Gwinta". Twierdzą ponadto, że skopiowali wszystkie dokumenty z działów księgowości, prawnego, HR oraz relacji inwestorskich. Dali CD Projektowi 48 godzin na kontakt.

Atak pod lupą

Polska firma zapowiedziała, że nie zamierza kontaktować się z przestępcami i prowadzi działania ograniczające konsekwencje ewentualnego upublicznienia danych. Skontaktowała się już z odpowiednimi służbami, m.in. z organami ochrony danych osobowych i specjalistami z zakresu informatyki śledczej.

Czytaj także: Adam Kiciński, prezes CD Projektu: Nie doszło do wycieku danych graczy

Studio uspokaja, że skradzione dane nie zawierają prywatnych informacji o graczach oraz osobach korzystających z usług świadczonych przez polską firmę. Podkreśla ona, że jej kopie zapasowe pozostały nietknięte.

– Gdy firma padnie ofiarą ataku ransomware, nie powinna płacić okupu, zadeklarował to też CD Projekt. Jeśli zaatakowany posiada kopie zapasowe, wystarczy przywrócić z nich dane. Wtedy kosztem będą tylko dodatkowe godziny pracowników zaangażowanych w odzyskiwanie informacji – komentuje Damian Przygodzki, inżynier systemów w firmie Sophos. Dodaje, że jeśli okup zostanie zapłacony, koszty rzeczywiste się podwoją, gdyż poza opłatą dla przestępców ktoś i tak musi się zająć przywracaniem danych. Nie ma też pewności, co zostanie wówczas odszyfrowane i czy zwrócone informacje nie będą zawierały dodatkowej luki dla przestępców.

Czytaj także: Atak na CD Projekt: żądanie okupu to nowa moda u hakerów

Giełdowy rollercoaster

Na informację o ataku hakerskim zareagowały notowania CD Projektu. Kurs od rana spadał. Po południu za akcję studia trzeba było zapłacić 269 zł, co oznaczało ponad 6-proc. przecenę. Był to największy spadek wśród spółek należących do WIG20.

Ostatnie miesiące są dla CD Projektu i posiadaczy jego akcji nerwowe. Po sukcesie „Wiedźmina" i w oczekiwaniu na premierę „Cyberpunka" przez kilka lat CD Projekt był gwiazdą na warszawskiej giełdzie, a kurs akcji poruszał się w mocnym trendzie wzrostowym. Jednak po grudniowej premierze notowania się załamały, a wycena studia stopniała o kilkanaście miliardów złotych. „Cyberpunk" był najbardziej kontrowersyjną premierą w historii branży cyfrowej rozrywki. Gra na komputery PC zbiera pochwały i sprzedaje się świetnie, natomiast wersje na konsole starej generacji okazały się pełne błędów i studio na bieżąco je poprawia.

Czytaj także: Cyberatak na twórców Cyberpunka. Szantaż hakerów i spadki na giełdzie

– Spółka próbuje odzyskać zaufanie po premierze „Cyberpunka" i takie informacje jak ta o ataku na pewno nie pomagają. Największe ryzyko związane z tym atakiem ma charakter reputacyjny i związane jest z możliwym upublicznieniem wrażliwych danych graczy. Gdyby do tego doszło, spółce byłoby jeszcze trudniej odzyskać ich zaufanie – komentuje Kacper Koproń, analityk Trigon DM.

Wtóruje mu Michał Wojciechowski, ekspert Ipopemy Securities: – Od strony operacyjnej spodziewałbym się niewielkich opóźnień w pracach produkcyjnych, raczej bez wpływu na długoterminowe wyniki. Ewentualne ryzyko opublikowania materiałów z gier jest o tyle mniej problematyczne, że „Cyberpunk 2077" został już wydany, więc tutaj nie ma już problemu spoilerów – mówi. Natomiast aspekt wizerunkowy zależy od tego, jakie dane zostałyby upublicznione. – Zapewne tutaj ryzyko jest większe – dodaje Wojciechowski.

Przy wtorkowej cenie akcji wartość studia wynosi 27 mld zł. Pod koniec stycznia kurs w trakcie czterech sesji mocno urósł na fali zamykania tzw. krótkich pozycji przez globalne fundusze. Jednak po nagłej zwyżce notowań szybko przyszła korekta, kurs spadł poniżej 300 zł i tam się utrzymuje.

Znamienna data

Informacje o ataku hakerskim na CD Projekt zostały podane 9 lutego. Paradoksalnie tego dnia obchodzony jest... światowy dzień bezpiecznego internetu.

Ransomware są jednym z najczęstszych rodzajów ataków. Zazwyczaj ich źródłem jest kliknięcie w link czy załącznik maila, pobranie oprogramowania z nieoficjalnych źródeł lub przeglądanie złośliwych stron internetowych. Eksperci wskazują, że w 2020 r. gwałtownie wzrosły kwoty żądanego przez przestępców okupu. Średnia jego wartość wynosi obecnie 233 817 dol. To prawie trzy razy więcej niż jeszcze w 2019 r. Hakerzy zdają sobie sprawę, jak kosztowne są dla firm przestoje oraz utrata czy wycieki danych, dlatego stale przesuwają granicę i testują możliwości finansowe ofiar.

Spektrum działań hakerów jest szerokie. W przypadku „Cyberpunka" mieliśmy już do czynienia z ransomware. Przestępcy wabili ofiary na witrynę imitującą Sklep Play Google'a, a przynętą była nieistniejąca w rzeczywistości gra CD Projektu w wersji mobilnej. Żeby zwiększyć swoją wiarygodność, fałszywą grę hakerzy reklamowali nawet w filmach na YouTubie. Po pobraniu i uruchomieniu takiej gry urządzenie zostawało zaszyfrowane i pojawiało się polecenie, żeby dokonać płatności, aby odzyskać dane. „Cena" wynosiła 500 dol. w formie bitcoinów.

Na ataki ransomware narażone są nie tylko firmy z sektora rozrywki. Nie ma „bezpiecznej" branży. – W 2020 r. hakerów nie powstrzymał nawet kryzys związany z pandemią, wielu z nich obierało na cel instytucje z sektora zdrowia i edukacji – podkreśla Przygodzki. Dodaje, że oprócz ataków wycelowanych w konkretne firmy przeprowadzane są także masowe ataki na mniejsze firmy.

– Wielkość przedsiębiorstwa nie ma znaczenia, a podejście „jesteśmy za mali, żeby opłacało się nas zaatakować", może się okazać bardzo kosztowne – podsumowuje Damian Przygodzki.

Opinia dla „rzeczpospolitej"

Adam Kiciński, prezes CD Projektu

W informacji zostawionej przez przestępców nie było żądania okupu. Znalazła się natomiast groźba upublicznienia skradzionych dokumentów i danych w razie niespełnienia żądań i oczekiwanie kontaktu w ciągu 48 godzin. Ofiarą ataku padły serwery i znajdujące się na nich zasoby. Zgodnie z naszą najlepszą wiedzą nie doszło do wycieku danych osobowych graczy i innych użytkowników. Teraz skupiamy się na badaniu incydentu, zabezpieczaniu infrastruktury i przywracaniu danych, które są regularnie zapisywane w formie kopii zapasowych. Jest zbyt wcześnie, aby oceniać długoterminowe skutki ataku. Krótkoterminowo wpłynie on na tempo prac deweloperskich.