2K Games getroffen door cyberaanval waarbij malware via helpdesk verstuurd werd

Uitgever 2K Games is slachtoffer geworden van een cyberaanval waarbij hackers de helpdesk van het bedrijf wisten binnen te dringen. Vervolgens zouden er mails met malware via het helpdeskaccount naar gamers gestuurd zijn.

De cyberaanval vond op 20 september plaats, waarna er volgens het bedrijf mailtjes uit naam van de 2K-helpdesk naar gamers gestuurd zijn met daarin een link naar de zogenaamde nieuwe 2K-launcher. Daarom heeft 2K Games de helpdesk voorlopig gesloten. Alle recente e-mails van de helpdesk moeten dan ook als nep gezien worden. Voor zover bekend zijn er bij de cyberaanval geen gebruikersgegevens buitgemaakt; het lijkt alleen om een gecompromitteerd helpdeskaccount te gaan.

2K raadt slachtoffers aan om de e-mail en de daarin verzonden link niet te openen. Is dit al gebeurd, dan raadt het bedrijf aan om alle in de browser opgeslagen wachtwoorden te veranderen, tweestapsverificatie in te schakelen, een antivirusprogramma te gebruiken en te controleren of er geen e-mailinstellingen zijn veranderd.

Uit onderzoek van BleepingComputer blijkt dat de neplauncher in de e-mails eigenlijk RedLine Stealer-malware is. Deze software wordt veelal gebruikt om lokaal opgeslagen inloggegevens te stelen. In dit geval zou het programma op zoek zijn gegaan naar gevoelige gegevens in bestanden van onder meer FileZilla, Discord, Steam en webbrowsers.

Door Yannick Spinner

Redacteur

21-09-2022 • 14:41

27 Linkedin

Submitter: Zidane007nl

Reacties (27)

Wijzig sortering
Een bedrijf hacken om uit hun naam mails te sturen?
Dacht dat spammers toch wel verder waren dan dat... aangezien ik zo vaak mails krijg die afkomstig lijken te zijn van een bedrijf maar het niet zijn, trappen nog dagelijks mensen in.
Hack lijkt me dus omslachtig ;)
Reageer
Dacht dat spammers toch wel verder waren dan dat... aangezien ik zo vaak mails krijg die afkomstig lijken te zijn van een bedrijf maar het niet zijn, trappen nog dagelijks mensen in.
Ja die "lijken" er op maar zijn het niet.
Heel omslachtig om het via zo'n helpdesk te doen, maar daarmee heb je wel een letterlijk geverifieerd mailadres van een bedrijf waarmee je de hack verspreid. Ik weet niet hoe de "hackmails" er uit hebben gezien, maar als er wordt gezegd dat er een nieuwe launcher komt waarbij je je data/account moet overzetten zodat je niks verliest klik je toch behoorlijk snel op zo'n link in een mail. Het mailadres vertrouw je namelijk wel. :)

Edit: Quote toegevoegd voor verduidelijking.

[Reactie gewijzigd door SpekkieB op 21 september 2022 14:55]

Reageer
Ja, maar in tegenstelling tot die bergen spam die voorbij komen, komt deze mail dus daadwerkelijk bij de helpdesk vandaan. En dat is toch wel weer leuk aangezien de meeste spamfilters die toch niet eruit zullen vissen. Doorgaans mag je er immers vanuit gaan dat mail vanuit het bedrijf ook te vertrouwen is.
Reageer
Dat ligt maar net aan de motivatie van de hackers. Wellicht was dit puur om wat reputatieschade aan te richten.
Reageer
Als jij vanuit een "gekaapte" domein dit doet lijkt me dat je veel meer succesvoller bent. Er zijn enkele verificaties/signatures aanwezig:

DMARC
DKIM
SPF

https://www.sidn.nl/nieuw...pen-in-geval-van-phishing

Vooralsnog elke maildienst en spamfilter zal hier anders op reageren, met name gezien het om consumenten gaat die nu deze mails krijgt. Verder kan er ook een limiet worden ingesteld, waarbij provider na een aantal mails op een gegeven moment gaat blokkeren/op slot gaat. Ook werken maildiensten, waaronder van internetproviders met eigen spamblokeringstechnieken waardoor voorkomt dat partij A alles blokkeerd op bulklimiet, maar partij B wel verifieerd en ziet dat de mails voldoet aan voorwaardes.

Ook heb je blacklisten, maar dit is te omzeilen door zo plain mogelijke mail te sturen vanaf een nieuw domein die niet gekenmerkt is als spamdomein.

EDIT: bron + toelichting toegevoegd.

[Reactie gewijzigd door m.z op 21 september 2022 21:19]

Reageer
Gaat het hierbij niet om de malware die in die mails verwerkt zitten? Dat er in de desbetreffende mail een link zit waar je op klikt, waardoor de hacker achter bepaalde info kan komen?

Als dat niet het geval is zou ik ook niet snappen wat het gevaarlijke gevolg is.
Reageer
Mss is het een launcher met meegeleverde malware. Dus als mensen de launcher uit de mail installeren krijgen ze ook malware geïnstalleerd. Gezien de mail komt van het bedrijf zelf, ben je sneller geneigd die launcher ook te accepteren en de installatie daadwerkelijk admin rechten te geven.
Reageer
Als er nu een domein registreer is met een nieuw certificaat, zal je eerst fase succesvol zijn met phishing. Namelijk is dan nog niet als verdacht gekenmerkt.
Reageer
Ook een attachment bij een spam mail voegen is niet echt een uitdaging.
Pas als ze code van 2K hebben weten te voorzien van malware snap ik waar een hack voor nodig was, maar mails sturen? Dat klinkt meer als dagelijkse business voor cybercriminelen.
Reageer
Het punt is wel dat als ze bij 2K hun SPF record in de DNS een beetje netjes hebben staan, en jouw ontvangende mailserver daar een beetje naar kijkt, het vrij lastig wordt om een mail te versturen namens (iik zeg ff wat: support@2kgames.com) die ook daadwerkelijk aankomt.

Zodra je direct vanuit hun netwerk de mails kunt versturen, en dus gebruik maakt van hun verzendende mailserver, omzijl je die SPF check al. Waardoor jouw mailclient de mail niet gaat zien als Spam/Phishing etc. Zeker omdat je kennelijk al eerder contact hebt gehad met dat mailadres, en die mailtjes ook van die server kwamen.
Reageer
Meeste mensen kijken niet eens naar de afzender, alleen naar de naam die er staat
Dus als het van "2k support"komt, dan geloven ze dat wel. En 1 ticket inschieten, dan weet je wat er moet staan. Desnoods een domain met typo dat er erg op lijkt, dan heb je met SFP niets meer te maken. Wat heet, je kunt op dat gelijkende domein zelf SPF, DKIM etc opzetten. Net een echte partij, niets in een spamfilter en je spamt iedereen de link naar je nieuwe launcher.

Hoef je echt geen partij voor te hacken, voor die paar extra clicks op je malware.
Reageer
Meeste mensen kijken niet eens naar de afzender, alleen naar de naam die er staat
Laat staan dat er gekeken wordt naar het link adres naast de afzender als er links zijn in de email.
Reageer
Daar heb je ook wel weer een punt ja.
Ik ben zelf het type dat bij twijfelachtige mailtjes altijd eerst naar de afzender kijkt, maar de groep die alles voor waar aanneemt is wel groter, helaas.
Reageer
Elke dag een nieuw bericht over een bedrijf die getroffen is door een cyberaanval. Kijken mensen er nog van op? Ik geloof het niet.

En juist dat is gevaarlijk omdat mensen laconiek worden in hun doen en laten qua beveiliging ondanks dat 9/10 (aanname) cyberaanvallen succesvol zijn door mensenlijk falen.
Reageer
Nee, mensen kijken er nauwelijks meer van op, maar het is vooral van belang dat bedrijven hiervan leren. Waar je vroeger bij een willekeurige medewerker meteen admin rechten op alles had (was lekker makkelijk) is de kans niet veel groter dat het stukken netter is ingesteld dus dat je vrij beperkt bent met je vers buitgemaakte inloggegevens. Dus moet je mikken op de beheerders, helpdesk, managers etc. En die zijn doorgaans toch lastiger te vangen.

En ja, het menselijke aspect is vaak de zwakste schakel. Van een leuke USB stick op de parkeerplaats tot nepmailtjes vanuit de salarisadministratie... de grootste kans om ergens binnen te komen is toch via die paar medewerkers die toch hun gegevens verstrekken.
Reageer
Ik mis toch een paar zaken in de communicatie hiervoor.
Hoe zijn ze binnengedrongen op het account? Stond MFA ook aan voor deze support medewerker? (mijn eerste gok is van niet, maar kan zijn dat ook hier sprake is van MFA fatique, zoals Lapsus$ eerder heeft gedaan bij de Okta hack).
Reageer
Succesvolle hacks en ransomware acties zijn auto alarmen uit de jaren 80. 10 jaar daarvoor was het nieuw en schrokje ervan in de straat, nu is het schering en inslag en denk je hmmm het zal wel.
Reageer
Heb ook zo'n mail gehad. Gelukkig niks mee gedaan. Het leek haast echt, al helemaal omdat ik een paar dagen daarvoor een klacht had gestuurd over het feit dat ze in oudere games ineens een launcher inbouwen en dit haast op een soort van vervolg leek. Uit pure toeval leek het dus nog echter dan het was ook

[Reactie gewijzigd door JakkoFourEyes op 21 september 2022 15:48]

Reageer
Dat hoeft geen puur toeval te zijn.
Een dergelijk feit: "het inbouwen van een launcher in oudere games" is breed bekend. En dat kan iemand die kwaad wil dan ook prima misbruiken.

Was het laatst niet Ubisoft waarbij je oude software niet meer offline kunt spelen omdat ze de stekker er uit trekken?
Wat als hun helpdesk gehacked word en ze sturen een mail uit dat ze die beslissing terug draaien en een nieuwe launcher als attachment sturen die er voor zorgt dat je al die oude software kunt blijven spelen...

Reken maar dat een boel mensen er dan in trappen.
Reageer
In dit geval bedoelde ik puur toeval in de zin van dat ik net contact had gehad met 2K over hetzelfde onderwerp.
Maar inderdaad, ben het met je eens
Reageer
Ik ben toch wel benieuwd naar de aantallen, hoeveel mails zijn er verstuurd? Je mag bij een bedrijf als 2K toch aannemen dat een regulier helpdesk account met bijv. tempocontrole te maken krijgt bij het verzenden van bulkmails (waardoor er toch ergens bij iemand een alarm zou moeten afgaan).

Daarnaast heb je natuurlijk ook in alle hedendaagse mailoplossingen diverse policies beschikbaar die dergelijke "suspicious activity" zou moeten detecteren.

Nogmaals, ik ben benieuwd naar de aantallen..

[Reactie gewijzigd door KS95 op 21 september 2022 15:05]

Reageer
2K maakt de volgende games:
  • BioShock
  • Borderlands
  • Civilization (since 2005)
  • Mafia (since 2010)
  • X-COM (since 2012)
  • 2K Sports
  • NBA 2K (since 2005)
  • PGA Tour 2K (since 2018)
  • WWE 2K (since 2013)
Helpt misschien bij het herkennen van mails die gericht zijn op een game.
Reageer
Ik heb zo'n mailtje gekregen, met ticket nummer, data en tijd. Allemaal keurig in een semi-legit vormgegeven support email. Maar vervolgens zonder details over de zogenaamde 'issue' waarover ik word geüpdatet. Meteen naar de prullenbak gesleept en direct naar de website van 2K gegaan, waar bleek dat ik überhaupt geen account heb..
Reageer
Damn, het was inderdaad TE echt.


Ik ben er helaas ingetrapt, dus ik ga mijn accounts even in de gaten houden.

Ik heb gelukkig wel overal MFA op gezet, dus in principe kunnen ze niet heel veel schade aanrichten.
Reageer
Als nepmailtjes vanuit een fake adres niet meer werken, dan maar gewoon vanuit de bron gaan versturen :+
Reageer
Het moet afgelopen zijn met anoniem kunnen opereren op het internet. Van de mp weten hoeveel smsjes en ook nog als het moet de inhoud, hij de afgelopen jaren heft gekregen en verstuurd. Hackers kunnen wel in het geniep werken. Schandalig!
Reageer
Wat ik niet begrijp, ik kan er natuurlijk naast zitten, is .. De spellen van uitgever 2K Games worden uitgegeven op voornamelijk Steam. 2K Games heeft toch helemaal geen launcher ?

Ik heb een aantal spellen van hun, waaronder PGA Tour 2K21, dat gaat helemaal via Steam.

Er is al eens eerder zoiets gebeurd, waarbij gamers massaal een foute launcher hadden gedownload, geïnstalleerd en vervolgens niets konden (maar wel slachtoffer werden). Ook die uitgever had helemaal geen eigen launcher. Oh, dat ging om bepaalde software en zat iets anders in elkaar, maar toch..

Dan, mocht dat bij 2K Games ook zo zijn, ben je als gamer toch ook niet snugger ?

[Reactie gewijzigd door YouriHL op 22 september 2022 10:40]

Reageer


Om te kunnen reageren moet je ingelogd zijn

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ.

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee