CNA Financial是美国最大的保险公司之一,他们在3月底向黑客支付了4000万美元(2.5亿人民币)的付款,以恢复受到勒索软件感染的计算机系统的访问权。
根据网络安全专家的说法,威胁参与者于2021年3月21日在CNA的IT网络上部署了勒索软件程序,并加密了15000台设备。该金额超过了整个2020年网络攻击的最高赎金需求,此外还远高于2019年的最高赎金1500万美元。
CNA Financial公司仅提到3月21日,检测到复杂的网络安全攻击,对其计算机系统造成了严重破坏。了解事件的消息人士称,员工的工作系统受到了锁定,涉及盗窃机密信息。攻击者要求为此支付赎金,他们使用Phoenix CryptoLocker勒索软件对受感染计算机和公司内部网络上的所有数据进行加密。
根据该公司的内部消息来源,CNA试图自行恢复数据,但在一周的失败尝试后,他们同意与攻击者进行谈判。攻击发生两周后,CNA Financial向黑客支付了赎金。
过去几天发布的更新提到该公司已经与数字取证专家进行合作,并且还确保自首次攻击以来未检测到异常活动。
技术细节:Phoenix CryptoLocker与“ Evil Corp”的联系
除了CNA的内部网络之外,Phoenix CryptoLocker还对在攻击过程中连接到公司VPN的远程员工的计算机进行了加密。
在整个加密过程中,勒索软件为所有加密文件添加了“ .phoenix”扩展名,并创建了一个名为“ PHOENIX-HELP.txt”的勒索票据。
此外,安全专家暗示道,流行的网络犯罪组织“ Evil Corp”是该Phoenix CryptoLocker勒索软件的幕后黑手。该勒索软件是WastedLocker勒索软件的升级版本。
美国政府于2019年对Evil Corp实施了制裁,为避免罚款和提起诉讼,大多数勒索软件停止为受害人提供给WastedLocker运营商的赎金服务。
但是,该公司声称他们已经遵守法律,咨询并放弃了所有必要的数据给联邦调查局和美国财政部外国资产控制办公室。简而言之,CNA Financial遵循了当前的所有准则,以停止违反制裁措施,同时向威胁行为者支付赎金。
但是,根据内部调查,进行此活动的黑客并未受到制裁,因此CNA决定支付赎金。到目前为止,该公司仍继续对该事件进行少量更新,尽管它们在最新消息中确保注册,订阅或索赔系统不受到损害,因此机密的客户信息是安全的。
恢复更新
后续CNA在官方网站上证实,他们现在已完全恢复了所有内部网络并正常运行。但是,对于进一步的安全措施,并声称他们正在执行以下所有要点:
在新还原的系统上,他们正在部署高级端点检测和监视工具。
为了使他们的网络完全安全,他们正在彻底扫描他们的系统。
在检测到任何危害指标时,立即采取补救措施。
在将系统重新联机并确保它们干净之前,该公司还进行了两次检查。
这些类型的事件清楚地表明,黑客如何将这些勒索软件操作用作窃取未加密数据的简单且常见的策略。但是,每个人都应注意,始终向黑客付费并不能保证完全恢复。
另一方面,CNA发言人表示,该公司已同意使用法律准则以解决此类事件。该公司已获得联邦调查局(FBI)和外国资产控制办公室(OFAC)的咨询。确定的是,尽管美国有针对此类情况采取行动的准则,但美国当局不建议为此类救助付款。
在上周的相关新闻中,保险公司AXA也成为了勒索软件团体的目标,据称他们中的是Avaddon变体。在这种情况下,威胁行为者窃取了多达3TB的敏感信息,包括临床记录,银行详细信息,个人身份证和合同。
红数位认为即使CNA为了保险资料隐私数据支付了赎金,但是黑客是否就此彻底删除资料且丝毫不泄露数据,这是很难界定的,再有买手联系到勒索团队要求购买,黑客是否会让数据会再次泄露,这次花钱买单也只能看黑客团体的素质了。
题图来源:https://mp.weixin.qq.com/s/44y7EzlhcUhQENyH1wXeFg
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:红数位
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照