Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Инциденты и уязвимости

Программа-вымогатель KADOKAWA / Niconico (2024) — почему поражение охватило всю компанию, сегментация сети и BCP

В июне 2024 года японскую группу KADOKAWA поразила программа-вымогатель: множество сервисов, включая Niconico, простаивали месяцами, утекли данные ~250 000 человек. Входом стал фишинг, укравший учётные данные сотрудника, а поражение охватило всю компанию, потому что сеть не была сегментирована.

Опубликовано 2026-07-07 Обновлено 2026-07-07 9 мин чтения

Реальные публичные инциденты мы читаем не как повтор новостей, а как «как от этого защититься?» Эта статья опирается на публичный след (заявления компании, авторитетные репортажи). Источники перечислены в конце; никаких инструкций по атаке и никаких данных, идентифицирующих кого-либо, не приводится.

~250 000
Человек, чьи данные утекли
Фишинг
Украденные учётные данные сотрудника как вход
Месяцы простоя
Niconico и другие офлайн месяцами
Нет сегментации
Системы разной критичности в одной сети
Досье инцидента
Цель
Внутренние системы группы KADOKAWA и личные данные партнёров, учащихся и сотрудников (оператор: KADOKAWA Corporation / Dwango и др.)
Обнаружено
Ранние часы 8 июня 2024 года (замечены сбои сервисов группы; сервисы остановлены в тот же день)
Схема
Фишинг сотрудника для кражи учётных данных → проникновение во внутреннюю сеть → запуск программы-вымогателя и кража данных (двойное вымогательство)
Масштаб
Утекли личные данные ~250 000 человек; множество сервисов, включая Niconico, простаивали месяцами, с побочными эффектами для издания и дистрибуции
Первопричина
Кража учётных данных через фишинг + системы разной критичности в одной сети (нет сегментации), позволившие урону охватить всю компанию + слабая готовность к сдерживанию и непрерывности бизнеса
Настоящее решение
Устойчивая к фишингу аутентификация (MFA, passkey); сегментация сети + минимум привилегий; непрерывность бизнеса (BCP), бэкапы и учения по восстановлению

Что произошло (простыми словами)

Программа-вымогатель шифрует системы организации ради выкупа и всё чаще ещё и угрожает опубликовать украденные данные. В KADOKAWA первым входом стал фишинг, нацеленный на сотрудника. Поддельная страница входа и подобное украли учётные данные, которые использовали для проникновения во внутреннюю сеть.

Но огромным этот инцидент сделал не вход, а распространение. Видеосервис, издательские базовые системы, системы учебного заведения, корпоративный сайт — системы очень разной критичности и назначения, как сообщается, делили одну сеть. Без перегородок взлом в одном месте каскадом прошёл по всему. В результате множество сервисов, включая Niconico, простаивали месяцами, с последствиями для издания и дистрибуции. Больше самого вторжения урон до масштаба всей компании расширила одна плоская, несегментированная сеть.

Сегментируйте сеть, как водонепроницаемые отсеки корабля

Крупные суда делят корпус на водонепроницаемые отсеки. Если один пробит и затоплен, поражение удерживается в нём — корабль не тонет. С сетями так же: разделите системы разной критичности и роли на отдельные зоны (сегменты) и ограничьте межзонный трафик, и одну компрометацию можно остановить там. Разместите всё в одной сети — и единственная брешь затопит целое.

Цепочка атаки — это ещё и карта защиты

Это была цепочка, где на каждом шаге было место, чтобы её остановить. Читайте её как где её можно было разорвать, а не как инструкцию.

1. Фишинг крадёт учётные данные сотрудника

Поддельная страница входа и подобное забрали ID и пароль сотрудника.

Стоп: устойчивая к фишингу аутентификация (MFA, passkey); анти-фишинг

2. Учётные данные использованы для входа во внутреннюю сеть

Украденные учётные данные открыли путь внутрь.

Стоп: многофакторная аутентификация; контроль доступа; обнаружение подозрительных входов

3. Нет сегментации — поражение охватило всю компанию

Системы разной критичности делили одну сеть, и урон каскадом прошёл дальше.

Стоп: сегментация сети; изоляция по критичности; минимум привилегий

4. Долгий простой бизнеса, утечка данных (двойное вымогательство)

Крупные сервисы простаивали месяцами, а украденные данные были опубликованы.

Стоп: непрерывность бизнеса (BCP); бэкапы + учения по восстановлению; не полагаться на оплату

У каждого шага был стопор. Эшелонированная защита — это удержание нескольких таких стопоров, а не одна стена.

Опубликованная хронология

  1. 2024-06-08

    В ранние часы падают сервисы группы, включая Niconico; оператор (Dwango) останавливает затронутые сервисы и начинает работы.
  2. 2024-06

    Подтверждена атака программы-вымогателя. Даже после удалённого выключения серверов атакующий перезапускал их, чтобы продолжать распространение, поэтому кабели питания и связи физически отсоединили ради сдерживания.
  3. 2024-07

    Группа, называющая себя BlackSuit, берёт на себя ответственность и сливает данные (двойное вымогательство). KADOKAWA раскрывает ситуацию поэтапно.
  4. 2024-08-05

    Раскрыты результаты расследования: данные ~250 000 человек (учащиеся, опекуны, сотрудники, партнёры). Причиной назван фишинг сотрудника. Восстановление крупных сервисов продвигается.
  5. 2024-08–10

    Поэтапное восстановление (корпоративный сайт и книжное направление в августе; Niconico и порталы в октябре). Широкое восстановление заняло несколько месяцев.

Первопричина не только во «входе» — а в распространении

Списать это на «их зафишили» — значит упустить суть. Вход стоит закрыть, но важно то, остаётся ли урон локализованным после проникновения — то есть сегментация и непрерывность бизнеса.

Конфигурация, которая рухнула

  • Аутентификация персонала сломана фишингом (слабая многофакторная стена)
  • Системы разной критичности в одной сети (нет сегментации)
  • Структура, где одна компрометация каскадом прошла по всему
  • Недостаточная готовность к непрерывности при долгом простое

Конфигурация, которая держится

  • Устойчивая к фишингу аутентификация (MFA, passkey) укрепляет вход
  • Сегментация сети по критичности плюс минимум привилегий
  • Удержать компрометацию в её зоне; не дать урону охватить всю компанию
  • BCP, бэкапы и учения по восстановлению на случай долгого простоя

Выкуп — не замена плану непрерывности бизнеса

Оплата выкупа попадает в заголовки, но оплата не гарантирует ни восстановления, ни того, что утечка прекратится (репортажи отмечают случаи, когда даже при якобы уплаченном выкупе данные восстановились не полностью). Полагаться стоит не на оплату, а на сегментацию сети, бэкапы и план непрерывности бизнеса (BCP), подготовленные заранее. Решить «как бизнес продолжает работать и восстанавливается, если базовые системы стоят недели или месяцы» в спокойное время — вот что оставляет варианты в кризис. (Связанное: устаревшее VPN-устройство как вход в инциденте с Capcom.)

Как от этого защититься

Программа-вымогатель целится в организации любого размера. В порядке приоритета:

1

Укрепить вход (устойчивая к фишингу аутентификация)

Первый вход часто — фишинг. Дайте персоналу многофакторную аутентификацию, а где возможно — устойчивый к фишингу метод вроде passkey, чтобы украденный поддельной страницей пароль никого не впустил.

2

Сегментировать сеть по критичности

Разделите системы разной критичности и роли — видео, издание, учебное заведение, корпоратив — на отдельные зоны и ограничьте межзонный трафик. Если одну скомпрометировали, остановите там. Встройте это в свою базовую безопасность организации.

3

Подготовить непрерывность бизнеса (BCP), бэкапы и восстановление

В спокойное время решите «как бизнес продолжает работать и восстанавливается, если базовые системы надолго встали». Держите офлайновые / версионированные бэкапы и отрабатывайте восстановление. Исходите из того, что оплата не гарантирует восстановления.

4

Иметь средства быстро сдержать компрометацию

Умейте быстро изолировать зону и остановить распространение (мониторинг, EDR, процедуры). При наличии сегментации сдерживание быстрее и эффективнее.

Где это пересекается с тем, как устроен этот сайт

По сути этот инцидент разместил всё в одной сети, и одна компрометация каскадом прошла по всей компании. Это зеркальное отражение собственных принципов этого сайта — уменьшать радиус поражения, изолировать важное и защищаться слоями. Несегментированная сеть несёт ту же опасность, что и один API-ключ, дотягивающийся до всех данных, или единая точка отказа. «Укрепить вход, разделить по критичности и подготовиться работать даже когда что-то встало» — защита, которую может внедрить кто угодно и в любом масштабе.

Источники (публичный след)

Факты здесь основаны на следующей публичной информации. Никаких инструкций по атаке и никаких данных, идентифицирующих кого-либо, не приводится — только уроки защиты.

  • Официальные заявления KADOKAWA Corporation / Dwango (уведомления об атаке программы-вымогателя и утечке данных, 2024) — group.kadokawa.co.jp
  • Репортажи того времени (вход через фишинг, проблема сегментации сети и хронология восстановления, 2024), на основе первичных раскрытий

Читать дальше

FAQ

QПочему взлом KADOKAWA охватил всю компанию?
A

Системы очень разной критичности и назначения — видеосервис Niconico, издательские базовые системы, системы учебного заведения, корпоративный сайт — делили одну сеть и не были должным образом сегментированы. Без внутренних перегородок взлом в одном месте каскадом прошёл по всей группе. Входом стал фишинг, укравший учётные данные сотрудника.

QЧто значит «сегментировать» сеть и почему это помогает?
A

Это значит разделить системы разной критичности и роли на <strong>отдельные зоны (сегменты)</strong> и ограничить трафик между ними. Как водонепроницаемые отсеки корабля: если одну зону затопило, поражение можно <strong>удержать в ней.</strong> При сегментации один скомпрометированный сервер не расползается легко в другие зоны. Уменьшение «радиуса поражения» — базовая и мощная защита.

QМожет ли этому научиться организация поменьше?
A

Да: (1) вынесите важные системы в отдельную сеть / за отдельную границу привилегий от остального; (2) используйте устойчивую к фишингу аутентификацию (MFA, passkey) для персонала; (3) держите план «как бизнес продолжает работать, если базовые системы надолго встали» (BCP), плюс бэкапы и учения по восстановлению; (4) исходите из того, что оплата выкупа не гарантирует восстановления. Даже в малом масштабе размещение всего в одной плоской сети несёт ту же опасность.