Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web

Incidentes e Vulnerabilidades

Ransomware na KADOKAWA / Niconico (2024) — por que se espalhou por toda a empresa, e segmentação de rede & BCP

Em junho de 2024, o grupo KADOKAWA foi atingido por ransomware: serviços como o Niconico ficaram meses fora do ar e dados de ~250.000 pessoas vazaram. A entrada foi phishing; espalhou-se porque sistemas de criticidade diferente dividiam uma rede sem segmentação. Endureça a entrada e segmente a rede.

Publicado 2026-07-07 Atualizado 2026-07-07 10 min de leitura

Lemos brechas reais e públicas não como notícias reprisadas, mas como "como você se defende disto?" Este artigo se baseia no registro público (comunicados da empresa, reportagens confiáveis). As fontes estão listadas no final; nenhum passo a passo de ataque e nenhum detalhe identificável de qualquer pessoa está incluído.

~250.000
Pessoas cujos dados vazaram
Phishing
Credenciais de funcionário roubadas como entrada
Meses fora do ar
Niconico e outros offline por meses
Sem segmentação
Sistemas de criticidade diferente em uma rede
Ficha do caso
Alvo
Sistemas internos do grupo KADOKAWA e dados pessoais de associados, alunos e funcionários (operadoras: KADOKAWA Corporation / Dwango, etc.)
Detectado
Madrugada de 8 de junho de 2024 (interrupções nos serviços do grupo notadas; serviços parados naquele dia)
Padrão
Phishing de um funcionário para roubar credenciais → entrada na rede interna → execução de ransomware e roubo de dados (dupla extorsão)
Escala
Dados pessoais de ~250.000 pessoas vazaram; muitos serviços, incluindo o Niconico, fora do ar por meses, com efeitos em cascata sobre publicação e distribuição
Causa-raiz
Roubo de credenciais via phishing + sistemas de criticidade diferente em uma rede (sem segmentação) que o deixou se espalhar por toda a empresa + preparação fraca de contenção e continuidade de negócios
Correção real
Autenticação resistente a phishing (MFA, passkeys); segmentação de rede + privilégio mínimo; continuidade de negócios (BCP), backups e ensaios de recuperação

O que aconteceu (em termos simples)

Ransomware criptografa os sistemas de uma organização em troca de resgate e, cada vez mais, também ameaça publicar os dados roubados. Na KADOKAWA, a primeira entrada foi phishing mirado num funcionário. Um login falso e afins roubaram credenciais, que foram usadas para entrar na rede interna.

Mas o que tornou este incidente tão grande não foi a entrada — foi a propagação. O serviço de vídeo, os sistemas centrais de publicação, os sistemas escolares, o site corporativo — sistemas de criticidade e propósito muito diferentes dividiam a mesma rede, segundo relatos. Sem divisórias, uma brecha em um ponto cascateou por tudo. Como resultado, muitos serviços, incluindo o Niconico, ficaram fora do ar por meses, com efeitos sobre publicação e distribuição. Mais do que a invasão em si, uma única rede plana e não segmentada ampliou o dano à escala da empresa inteira.

Segmente sua rede como os compartimentos estanques de um navio

Grandes navios dividem o casco em compartimentos estanques. Se um é rompido e inunda, ele é contido ali — o navio não afunda. As redes são iguais: divida sistemas de criticidade e papel diferentes em zonas separadas (segmentos) e limite o tráfego entre zonas, e um comprometimento pode ser parado ali. Coloque tudo em uma rede e um único furo inunda a coisa toda.

A cadeia de ataque também é um mapa de defesa

Foi uma cadeia com um lugar para pará-la em cada etapa. Leia-a como onde ela poderia ter sido quebrada, não como um passo a passo.

1. Phishing rouba as credenciais de um funcionário

Um login falso e afins pegaram o ID e a senha de um membro da equipe.

Parada: autenticação resistente a phishing (MFA, passkeys); antiphishing

2. Credenciais usadas para entrar na rede interna

As credenciais roubadas abriram o caminho para dentro.

Parada: autenticação multifator; controle de acesso; detecção de login suspeito

3. Sem segmentação — o dano se espalhou por toda a empresa

Sistemas de criticidade diferente dividiam uma rede e cascateou.

Parada: segmentação de rede; isolar por criticidade; privilégio mínimo

4. Longa interrupção do negócio, dados vazados (dupla extorsão)

Os principais serviços ficaram fora do ar por meses e os dados roubados foram publicados.

Parada: continuidade de negócios (BCP); backups + ensaios de recuperação; não depender de pagar

Cada etapa tinha um ponto de parada. Defesa em profundidade significa manter vários destes pontos, não uma só muralha.

Linha do tempo divulgada

  1. 2024-06-08

    Na madrugada, serviços do grupo, incluindo o Niconico, saem do ar; a operadora (Dwango) para os serviços afetados e inicia a manutenção.
  2. 2024-06

    Confirmado como ataque de ransomware. Mesmo após desligar servidores remotamente, o atacante os reiniciava para continuar se espalhando, então os cabos de energia e comunicação foram fisicamente desconectados para conter.
  3. 2024-07

    Um grupo que se autodenomina BlackSuit assume a autoria e vaza dados (dupla extorsão). A KADOKAWA divulga a situação em etapas.
  4. 2024-08-05

    Resultados da investigação divulgados: dados de ~250.000 pessoas (alunos, responsáveis, funcionários, associados). A causa é descrita como phishing de um funcionário. A recuperação dos principais serviços avança.
  5. 2024-08–10

    Recuperação em etapas (site corporativo e área de livros em agosto; Niconico e portais em outubro). A recuperação ampla levou vários meses.

A causa-raiz não foi só a "entrada" — foi a propagação

Descartar isto como "eles caíram num phishing" perde o ponto. A entrada deve ser fechada, mas o que importa é se o dano fica localizado uma vez dentro — ou seja, segmentação e continuidade de negócios.

A configuração que falhou

  • Autenticação da equipe quebrada por phishing (parede multifator fraca)
  • Sistemas de criticidade diferente em uma rede (sem segmentação)
  • Uma estrutura em que um comprometimento cascateou por tudo
  • Preparação insuficiente de continuidade de negócios para uma interrupção longa

A configuração que aguenta

  • Autenticação resistente a phishing (MFA, passkeys) endurece a entrada
  • Segmentação de rede por criticidade, mais privilégio mínimo
  • Contenha um comprometimento em sua zona; impeça a propagação por toda a empresa
  • BCP, backups e ensaios de recuperação para uma interrupção longa

Um resgate não substitui um plano de continuidade de negócios

O pagamento de resgate vira manchete, mas pagar não garante nem a recuperação nem que o vazamento pare (reportagens notam casos em que, mesmo quando um resgate teria sido pago, os dados não foram totalmente recuperados). No que você confia não é no pagamento, e sim em segmentação de rede, backups e um plano de continuidade de negócios (BCP) feitos com antecedência. Decidir "como o negócio continua e se recupera se os sistemas centrais ficarem fora do ar por semanas ou meses" em tempos calmos é o que deixa opções em uma crise. (Relacionado: a entrada por dispositivo VPN antigo no incidente da Capcom.)

Como você se defende disto

Ransomware mira organizações de todo tamanho. Em ordem de prioridade:

1

Endureça a entrada (autenticação resistente a phishing)

A primeira entrada é frequentemente phishing. Dê à equipe autenticação multifator e, onde puder, um método resistente a phishing como passkeys, para que uma senha roubada por um login falso não deixe ninguém entrar.

2

Segmente a rede por criticidade

Divida sistemas de criticidade e papel diferentes — vídeo, publicação, escola, corporativo — em zonas separadas, e limite o tráfego entre zonas. Se uma for comprometida, pare ali. Incorpore isso à sua base de segurança da organização.

3

Prepare continuidade de negócios (BCP), backups e recuperação

Decida em tempos calmos "como o negócio continua e se recupera se os sistemas centrais ficarem fora do ar por muito tempo." Mantenha backups offline / versionados e ensaie a recuperação. Assuma que pagar não garante a recuperação.

4

Tenha os meios de conter um comprometimento rapidamente

Seja capaz de isolar uma zona rapidamente e parar a propagação (monitoramento, EDR, procedimentos). Com a segmentação no lugar, a contenção é mais rápida e mais eficaz.

Onde isto se sobrepõe a como este site é construído

No fundo, este incidente colocou tudo em uma rede, e um comprometimento cascateou por toda a empresa. Esse é o espelho dos próprios princípios deste site — encolher o raio de impacto, isolar o que importa e defender em camadas. Uma rede não segmentada carrega o mesmo perigo que uma única chave de API que alcança todos os dados, ou um ponto único de falha. "Endureça a entrada, divida por criticidade e prepare-se para continuar operando mesmo quando algo para" é uma defesa que qualquer um pode implementar em qualquer escala.

Fontes (registro público)

Os fatos aqui se baseiam nas seguintes informações públicas. Nenhum passo a passo de ataque e nenhum detalhe identificável de qualquer pessoa está incluído — apenas as lições defensivas.

  • Comunicados oficiais da KADOKAWA Corporation / Dwango (avisos sobre o ataque de ransomware e o vazamento de dados, 2024) — group.kadokawa.co.jp
  • Reportagens da época (entrada via phishing, a questão da segmentação de rede e a linha do tempo de recuperação, 2024), baseadas nas divulgações primárias

Leia a seguir

FAQ

QPor que a brecha na KADOKAWA se espalhou por toda a empresa?
A

Sistemas de criticidade e propósito muito diferentes — o serviço de vídeo Niconico, os sistemas centrais de publicação, os sistemas escolares, o site corporativo — dividiam a mesma rede e não estavam devidamente segmentados. Sem divisórias internas, uma brecha em um ponto cascateou por todo o grupo. A porta de entrada foi phishing que roubou as credenciais de um funcionário.

QO que significa 'segmentar' uma rede e por que ajuda?
A

Significa dividir sistemas de criticidade e papel diferentes em <strong>zonas separadas (segmentos)</strong> e limitar o tráfego que cruza entre eles. Como os compartimentos estanques de um navio, se uma zona inunda ela pode ser <strong>contida ali.</strong> Quando segmentado, um servidor comprometido não se espalha facilmente para outras zonas. Encolher o 'raio de impacto' é uma defesa básica e poderosa.

QUma organização menor pode aprender com isso?
A

Sim: (1) coloque seus sistemas importantes em uma rede / fronteira de privilégio diferente do resto; (2) use autenticação resistente a phishing (MFA, passkeys) para a equipe; (3) tenha um plano de 'como o negócio continua se os sistemas centrais ficarem fora do ar por muito tempo' (BCP), mais backups e ensaios de recuperação; (4) assuma que pagar um resgate não garante a recuperação. Mesmo em pequena escala, colocar tudo em uma rede plana carrega o mesmo perigo.