Skip to content
CBCyber Breaches
Recherche
RançongicielRançon payée

Rançongiciel BlackSuit contre KADOKAWA / Niconico (2024)

Un accès obtenu par hameçonnage a permis à BlackSuit (lié à la Russie) de chiffrer l'infrastructure de KADOKAWA et la plateforme de partage vidéo Niconico, mettant les services hors ligne pendant deux mois. KADOKAWA a versé environ 2,9 M$ en cryptomonnaies — et BlackSuit a tout de même divulgué les 1,5 To dérobés.

Victime
KADOKAWA Corporation
Perte
$2.9M
données
254.2K
utilisateurs
254.2K
SecteurMédiasÉducationTechnologie
PaysJapon
GroupeBlackSuit

Au matin du 8 juin 2024, le géant japonais des médias et de l'édition KADOKAWA — propriétaire de la plateforme vidéo Niconico, de dizaines de studios d'anime et de jeu, et de l'institut éducatif Kadokawa Dwango — a subi une attaque par rançongiciel du groupe BlackSuit, lié à la Russie. Niconico s'est éteint, l'infrastructure d'entreprise de KADOKAWA a été paralysée, et la panne s'est étendue sur deux mois.

Ce qui s'est passé

L'intrusion a été retracée jusqu'à une attaque par hameçonnage. Une fois à l'intérieur, les opérateurs de BlackSuit ont chiffré à la fois l'informatique d'entreprise de KADOKAWA et l'infrastructure soutenant la plateforme vidéo Niconico. Lorsque KADOKAWA a tenté d'arrêter les serveurs compromis à distance, les attaquants — toujours actifs dans le réseau — les ont redémarrés. L'équipe de réponse à incident de KADOKAWA a dû recourir à un débranchement physique des câbles d'alimentation et de réseau dans le centre de données.

BlackSuit a exigé une rançon et a menacé de divulguer 1,5 To de données dérobées en l'absence de paiement avant le 1er juillet 2024. KADOKAWA a négocié, et en décembre l'entreprise a versé environ 2,9 millions de dollars en cryptomonnaies. BlackSuit a tout de même divulgué les données — un rappel public que payer un groupe de rançongiciels n'achète ni le silence ni l'honneur.

L'action KADOKAWA a chuté de plus de 20 % début juillet 2024. Niconico n'est revenu pleinement en ligne que le 5 août 2024, près de deux mois après l'attaque.

Impact

  • Niconico et les services du groupe KADOKAWA hors ligne pendant près de 2 mois.
  • Action KADOKAWA en baisse de plus de 20 % dans les semaines suivant la divulgation.
  • 254 241 personnes ont vu leurs données personnelles divulguées, dont 186 269 étudiants de l'institut éducatif Kadokawa Dwango.
  • Environ 2,9 millions de dollars de rançon payés ; données divulguées malgré tout.
  • Déclenchement de revues généralisées de la résilience à l'hameçonnage et de la continuité d'activité pour les infrastructures médias japonaises.

Pourquoi cela compte

L'expérience de KADOKAWA est l'une des études de cas les plus nettes pour démontrer que payer un groupe de rançongiciels n'achète pas la confidentialité des données. Le groupe a pris le paiement et a diffusé les données. La leçon — sur les plans opérationnel, juridique et de communication publique — a façonné la manière dont les conseils d'administration japonais abordent désormais les décisions face aux rançongiciels.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
2.9M
USD · 2 900 000 $US
Rançon demandée
$2.9M
Rançon payée
$2.9M
  • Rançon payée$2.9M

Chronologie

  1. Vers 03h30 JST, Niconico et les services du groupe KADOKAWA subissent une défaillance de connectivité. La cause est une attaque par rançongiciel BlackSuit.

  2. KADOKAWA confirme publiquement une attaque par rançongiciel ; les attaquants sont observés en train de redémarrer des serveurs à distance, ce qui pousse KADOKAWA à débrancher physiquement l'alimentation et les câbles réseau.

  3. Échéance fixée par BlackSuit pour la divulgation des 1,5 To de données dérobées.

  4. Services entièrement rétablis après environ deux mois d'indisponibilité.

  5. L'enquête interne identifie une attaque par hameçonnage comme vecteur probable d'accès initial.

  6. BlackSuit écrit aux dirigeants de KADOKAWA pour confirmer la réception d'environ 2,9 M$ en cryptomonnaies — puis divulgue malgré tout les 1,5 To de données dérobées.

  7. Fuite de données personnelles confirmée touchant 254 241 personnes, dont 186 269 étudiants de l'institut éducatif Kadokawa Dwango.

Sources

  1. en.wikipedia.orghttps://en.wikipedia.org/wiki/2024_cyberattack_on_Kadokawa_and_Niconico
  2. therecord.mediahttps://therecord.media/kadokawa-japan-reported-ransomware-payment
  3. therecord.mediahttps://therecord.media/japan-anime-giant-data-leak-ransomware
  4. cyberinsider.comhttps://cyberinsider.com/kadokawa-paid-3-million-ransom-blacksuit-ransomware-still-leaked-stolen-data/
  5. group.kadokawa.co.jphttps://group.kadokawa.co.jp/global/information/media-download/1345/840603bf0659e8ce/

Incidents liés

RançongicielRançon payée

Rançongiciel BlackSuit contre CDK Global (2024)

Les opérateurs de BlackSuit ont chiffré la plateforme de gestion des concessionnaires de CDK Global, mettant hors ligne environ 15 000 concessionnaires automobiles nord-américains pendant près de deux semaines. Une seconde attaque a frappé dès le deuxième jour de la reprise. Les pertes pour le secteur sont estimées à plus d'un milliard de dollars ; CDK aurait versé une rançon de 25 millions de dollars.

Victim
CDK Global
Loss
$1.00B
RançongicielContenu

Rançongiciel Cactus contre Schneider Electric Sustainability Business (2024)

Les opérateurs du rançongiciel Cactus ont frappé la division Sustainability Business de Schneider Electric, mettant hors ligne la plateforme de conseil Resource Advisor et exfiltrant environ 1,5 To de données — dont des scans de passeports et des NDA signés de clients tels que Hilton, PepsiCo et Walmart.

Victim
Schneider Electric — division Sustainability Business
RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)