A CD Projekt informou que foi vítima de um ataque cibernético direcionado, com comprometimento de sistemas internos, criptografia de alguns dispositivos e uma nota de resgate deixada pelos invasores. A empresa diz que seus backups permanecem íntegros, que a infraestrutura foi protegida e que a restauração de dados já começou.1

O comunicado também afirma que a companhia não pretende ceder às exigências nem negociar com o agente malicioso, mesmo reconhecendo que os dados obtidos podem ser divulgados. Segundo a nota de resgate publicada pela própria CD Projekt, os atacantes alegam ter obtido código-fonte e documentos internos.

Código-fonte é ativo de alto valor

Em ransomware tradicional, o foco era indisponibilidade: bloquear sistemas e cobrar pela chave. O caso da CD Projekt reforça uma evolução mais agressiva. A ameaça de vazamento transforma propriedade intelectual, documentação interna e dados corporativos em instrumentos de pressão pública.

Para uma empresa de jogos, código-fonte não é apenas repositório técnico. Ele representa anos de trabalho, ferramentas internas, lógica de engine, sistemas de build, conteúdo em desenvolvimento, integrações, segredos que podem ter sido mal armazenados e conhecimento competitivo. Mesmo quando o produto já foi lançado, a exposição desse material pode facilitar fraude, modificação indevida, engenharia reversa e ataques futuros.

A sensibilidade também envolve confiança com parceiros. Estúdios trabalham com fornecedores, plataformas, middleware, acordos de distribuição e propriedade licenciada. Um vazamento pode atingir contratos, relações comerciais e cronogramas além da equipe de engenharia.

Backups reduzem pressão, mas não encerram o incidente

O fato de a CD Projekt declarar backups íntegros é relevante. Backups testados reduzem a alavancagem do atacante, porque a empresa não fica obrigada a pagar apenas para recuperar operação básica. Isso mostra a importância de cópias isoladas, restauração ensaiada e planos de continuidade.

Mas backup não resolve exfiltração. Quando o atacante copia dados antes de criptografar sistemas, a resposta precisa incluir investigação forense, rotação de credenciais, varredura de segredos, análise de repositórios, revisão de acessos e comunicação com partes potencialmente afetadas.

A empresa diz não ter evidência, no momento do comunicado, de que dados pessoais de jogadores ou usuários de seus serviços tenham sido comprometidos. Ainda assim, essa avaliação precisa permanecer aberta enquanto a investigação avança. Incidentes desse tipo raramente são compreendidos por completo nas primeiras horas.

Extorsão pública muda a resposta

Ao publicar a nota de resgate e dizer que não negociará, a CD Projekt escolhe uma postura de transparência controlada. Essa decisão pode reduzir especulação, alinhar expectativas e mostrar que a empresa está acionando autoridades, especialistas forenses e medidas técnicas.

Também há risco. Divulgar detalhes demais pode orientar imitadores ou expor lacunas antes que sejam corrigidas. Divulgar de menos pode gerar desconfiança. A resposta adequada exige cadência: informar o essencial, preservar evidência, atualizar quando houver fatos e evitar prometer o que a investigação ainda não permite afirmar.

Para outras empresas de software, o recado é direto. Repositórios, sistemas de build, artefatos, chaves de assinatura e ferramentas internas precisam ser tratados como ambiente crítico. Não basta proteger produção; a fábrica de software também é alvo.

O ataque à CD Projekt mostra que ransomware moderno não é só um problema de máquinas bloqueadas. É uma crise de continuidade, propriedade intelectual, reputação e governança de dados. Backups ajudam a resistir, mas a maturidade real aparece na capacidade de conter, investigar e reconstruir confiança.

  1. CD Projekt, "CD PROJEKT RED is a victim of cyber attack", 9 fev. 2021.