Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Инциденты и уязвимости

Программа-вымогатель у Capcom (2020) — почему входом стало старое VPN-устройство и как защититься от двойного вымогательства

В 2020 году Capcom поразила программа-вымогатель Ragnar Locker: под угрозой утечки оказались данные ~390 000 человек, системы были зашифрованы. Входом стало старое резервное VPN-устройство, оставленное работать в североамериканском филиале, а атака была двойным вымогательством.

Опубликовано 2026-07-07 Обновлено 2026-07-07 9 мин чтения

Мы читаем реальные публичные инциденты не как повтор новостей, а под углом «как от этого защититься?» Эта статья основана на публичном учёте (заявления компании, авторитетные репортажи). Источники перечислены в конце, и никаких инструкций по атаке здесь нет.

~390 000
Людей, чьи данные оказались под угрозой утечки
Старое VPN
Входом стало оставленное работать резервное устройство
Двойное вымогательство
Украсть, затем зашифровать; угрожать сливом
Отказ платить
Восстановление из бэкапа; открытое раскрытие
Дело
Цель
Внутренние системы группы Capcom и персональные данные клиентов, партнёров и сотрудников (оператор: Capcom Co., Ltd.)
Обнаружено
2 ноября 2020 года (замечен и раскрыт сбой систем)
Схема
Вход через старое резервное VPN-устройство в североамериканском филиале → кража данных → шифрование программой-вымогателем (двойное вымогательство)
Масштаб
Под угрозой утечки данные ~390 000 человек (подтверждённая кража — лишь часть; без данных платёжных карт)
Первопричина
Оставленное работать старое VPN-устройство (поверхность атаки) + недостаточная защита пограничных устройств + слабые средства, чтобы остановить боковое перемещение и вынос данных внутри
Настоящее исправление
Вывод из эксплуатации неиспользуемого оборудования / инвентаризация активов; патчинг VPN/пограничных устройств + MFA; сегментация, минимум привилегий, обнаружение массового выноса данных; бэкапы и учения по восстановлению

Что произошло (простыми словами)

Программа-вымогатель шифрует файлы организации и требует «заплати, чтобы вернуть их». В последние годы атакующие добавляют поворот — сначала украсть данные и угрожать их публикацией, если не заплатят: двойное вымогательство.

У Capcom входом стало старое резервное VPN-устройство, оставленное работать в североамериканском филиале. После того как его заменили новые устройства, старое продолжало работать как аварийный резерв на случай проблем со связью. Даже если вы считаете его неиспользуемым, но оно включено — это дверь, которую видит атакующий. Оттуда они вошли во внутреннюю сеть, украли данные, а затем зашифровали системы. Capcom отказалась от требования выкупа (работая с правоохранительными органами), восстановилась из бэкапа и открыто раскрыла результаты в нескольких обновлениях. Больше самого проникновения ущерб расширили одно забытое устройство и внутренний путь для кражи данных.

Устройство, которым вы «больше не пользуетесь», — самое опасное

Атакующие любят активы, выпавшие из поля зрения. Устройство, заменённое новой моделью, но оставленное работать; аккаунт уволенного сотрудника; тестовый сервер, поднятый и забытый — каждое «больше не используется», поэтому его патчинг и мониторинг обычно прекращаются, но оно всё ещё доступно из сети. Если не пользуетесь — выключите / удалите. Если оставляете — держите актуальным и под мониторингом. Промежуток — заброшенность — худший вариант.

Цепочка атаки — это и карта защиты

Это была цепочка, в которой на каждом шаге было где её оборвать. Читайте это как где её можно было прервать, а не как инструкцию.

1. Старое резервное VPN-устройство осталось работать

Оставлено как аварийный резерв после появления новых моделей — по-прежнему поверхность атаки.

Останов: вывод из эксплуатации неиспользуемого оборудования; инвентаризация активов; минимизация поверхности атаки

2. Через это устройство вошли в сеть

Пограничное устройство стало путём внутрь.

Останов: патчинг VPN/пограничных устройств; многофакторная аутентификация; актуальность

3. Данные украдены, затем зашифрованы (двойное вымогательство)

Большой объём данных вынесли до шифрования.

Останов: сегментация; минимум привилегий; EDR; обнаружение массового выноса данных

4. Требование выкупа и угроза слива

Плати, или украденные данные опубликуют.

Останов: восстановление из бэкапа; политика «не платить»; связь с правоохранителями; открытое раскрытие

У каждого шага была точка останова. Эшелонированная защита — это удержание нескольких таких точек, а не одна стена.

Опубликованная хронология

  1. 2020-10

    Несанкционированный доступ во внутреннюю сеть происходит через старое резервное VPN-устройство в североамериканском филиале.
  2. 2020-11-01

    Поздней ночью часть устройств в Японии и Северной Америке шифруется программой-вымогателем (Ragnar Locker).
  3. 2020-11-02

    Замечен и раскрыт сбой систем; часть систем останавливают для расследования масштаба.
  4. 2020-11

    Атакующие сливают часть украденных данных и требуют выкуп на сумму примерно 1,1 млрд иен. Capcom не вступает в контакт и отказывается платить (работая с правоохранительными органами).
  5. 2021-04-13

    Итоговый отчёт расследования: под угрозой утечки данные ~390 000 человек (без данных платёжных карт). Объявлены меры предотвращения.
  6. 2020–2021

    Системы восстановлены из бэкапа; усилены мониторинг и эшелонированная защита.

Первопричина не «невезение», а обрушение слоёв

Списать это на «их взяла изощрённая атака» — значит упустить суть. Проникновение возможно; важно то, сокращаете ли вы число входов и минимизируете ли ущерб после проникновения.

Конфигурация, которая подвела

  • Старое VPN-устройство, оставленное работать после замены новыми моделями
  • Недостаточные патчинг / MFA на пограничных устройствах
  • Слабые средства, чтобы остановить боковое перемещение и массовую кражу
  • Даже при наличии бэкапов вынос данных не был предотвращён

Конфигурация, которая держится

  • Вывод из эксплуатации неиспользуемого оборудования; инвентаризация активов ради сокращения поверхности атаки
  • Патчинг VPN/пограничных устройств и обязательная многофакторная аутентификация
  • Сегментация, минимум привилегий, EDR, чтобы остановить перемещение и кражу
  • Бэкапы + учения по восстановлению возвращают доступность (наряду со средствами против кражи)

Сказать «нет» удалось потому, что были готовы

Capcom отказалась от выкупа, восстановилась из бэкапа и открыто раскрыла результаты. Она смогла принять верное решение — не платить — потому что у неё были средства для восстановления и готовность раскрывать. Оплата не гарантирует ни расшифровки, ни того, что слив прекратится, и финансирует следующую атаку. Заранее сделанные бэкапы, сегментация и инвентаризация активов — вот что оставляет вам варианты в кризис. (Связано: утечка Equifax из-за неустановленного патча.)

Как от этого защититься

Программа-вымогатель нацеливается на организации любого размера. В порядке приоритета:

1

Выводите из эксплуатации неиспользуемые устройства, пути и аккаунты

Старое оборудование, заменённое новыми моделями, забытые тестовые серверы, аккаунты уволенных сотрудников — инвентаризируйте то, чем вы «больше не пользуетесь», и выключите / удалите это. Если оно работает — это поверхность атаки. Если оставляете — держите актуальным и под мониторингом.

2

Патчите пограничные устройства и добавьте многофакторную аутентификацию

Закрывайте уязвимости в VPN и устройствах удалённого доступа и требуйте многофакторную аутентификацию. Граница атакуется первой. Используйте плейбук закрытия уязвимостей (CVE), чтобы исправить основательно и продолжать следить.

3

Остановите вынос данных (сегментация, минимум привилегий, обнаружение)

При двойном вымогательстве одних бэкапов недостаточно. Сегментируйте сеть, применяйте минимум привилегий, чтобы остановить боковое перемещение, и используйте EDR плюс обнаружение массового перемещения, чтобы предотвратить саму кражу.

4

Бэкапы и учения по восстановлению дают выбрать «нет»

Держите офлайн / версионируемые бэкапы и репетируйте восстановление. Имея средства для восстановления, вы вернёте бизнес, не заплатив. Встройте это в базовую безопасность организации.

Где это пересекается с тем, как устроен этот сайт

По сути этот инцидент оставил работать актив, которым якобы «больше не пользовались» (старое VPN-устройство), и допустил внутренний вынос данных. Это зеркальное отражение принципов самого этого сайта — минимизировать поверхность атаки, сократить радиус поражения и защищаться слоями. Заброшенное старое устройство — тот же пробел в управлении, что и секрет в публичной директории или спящий аккаунт. «Не пользуешься — выключи; патчи границу; защищайся и от кражи, и от шифрования» — это защита, которую каждый может реализовать в любом масштабе.

Источники (публичный учёт)

Факты здесь основаны на следующей публичной информации. Никаких инструкций по атаке — только уроки защиты.

  • Официальные заявления Capcom Co., Ltd. (отчёты и обновления об инциденте безопасности данных из-за несанкционированного доступа, 2020–2021) — capcom.co.jp
  • Репортажи того времени (вход через старое VPN-устройство, двойное вымогательство, требование выкупа и отказ, 2020–2021), на основе первичных раскрытий

Читать дальше

FAQ

QЧто стало входом при взломе Capcom?
A

Старое резервное VPN-устройство, оставленное работать в североамериканском филиале. После того как его заменили новые модели, старое устройство продолжало работать как аварийный резерв. Атакующие использовали его как плацдарм во внутреннюю сеть. Даже оборудование, которое вы считаете выведенным из эксплуатации, остаётся частью вашей поверхности атаки, если оно всё ещё включено и доступно.

QЧто такое «двойное вымогательство» и почему одних бэкапов недостаточно?
A

Помимо шифрования данных ради выкупа, атакующие сначала <strong>крадут данные и угрожают их опубликовать, если вы не заплатите.</strong> Бэкапы позволяют восстановиться после шифрования (вернуть доступность), но <strong>не могут отменить сам факт кражи.</strong> Поэтому нужны не только меры против шифрования (бэкапы), но и меры, которые <strong>вообще предотвращают вынос данных</strong> — сегментация, минимум привилегий и обнаружение массового перемещения данных.

QМожет ли небольшая организация извлечь из этого урок?
A

Да: (1) инвентаризируйте и выводите из эксплуатации неиспользуемые устройства, аккаунты и пути (оставленные, они становятся мишенью); (2) патчите VPN/пограничные устройства и добавьте многофакторную аутентификацию; (3) держите бэкапы и репетируйте восстановление; (4) сегментируйте сеть внутри и применяйте минимум привилегий, чтобы остановить вынос данных. Даже в малом масштабе заброшенное старое устройство и плоская сеть несут ту же опасность.