CNA Financial是美國最大的保險公司之一,他們在3月底向黑客支付了4000萬美元(2.5億人民幣)的付款,以恢復(fù)受到勒索軟件感染的計算機(jī)系統(tǒng)的訪問權(quán)。
根據(jù)網(wǎng)絡(luò)安全專家的說法,威脅參與者于2021年3月21日在CNA的IT網(wǎng)絡(luò)上部署了勒索軟件程序,并加密了15000臺設(shè)備。該金額超過了整個2020年網(wǎng)絡(luò)攻擊的最高贖金需求,此外還遠(yuǎn)高于2019年的最高贖金1500萬美元。
CNA Financial公司僅提到3月21日,檢測到復(fù)雜的網(wǎng)絡(luò)安全攻擊,對其計算機(jī)系統(tǒng)造成了嚴(yán)重破壞。了解事件的消息人士稱,員工的工作系統(tǒng)受到了鎖定,涉及盜竊機(jī)密信息。攻擊者要求為此支付贖金,他們使用Phoenix CryptoLocker勒索軟件對受感染計算機(jī)和公司內(nèi)部網(wǎng)絡(luò)上的所有數(shù)據(jù)進(jìn)行加密。
根據(jù)該公司的內(nèi)部消息來源,CNA試圖自行恢復(fù)數(shù)據(jù),但在一周的失敗嘗試后,他們同意與攻擊者進(jìn)行談判。攻擊發(fā)生兩周后,CNA Financial向黑客支付了贖金。
過去幾天發(fā)布的更新提到該公司已經(jīng)與數(shù)字取證專家進(jìn)行合作,并且還確保自首次攻擊以來未檢測到異常活動。
技術(shù)細(xì)節(jié):Phoenix CryptoLocker與“ Evil Corp”的聯(lián)系
除了CNA的內(nèi)部網(wǎng)絡(luò)之外,Phoenix CryptoLocker還對在攻擊過程中連接到公司VPN的遠(yuǎn)程員工的計算機(jī)進(jìn)行了加密。
在整個加密過程中,勒索軟件為所有加密文件添加了“ .phoenix”擴(kuò)展名,并創(chuàng)建了一個名為“ PHOENIX-HELP.txt”的勒索票據(jù)。
此外,安全專家暗示道,流行的網(wǎng)絡(luò)犯罪組織“ Evil Corp”是該P(yáng)hoenix CryptoLocker勒索軟件的幕后黑手。該勒索軟件是WastedLocker勒索軟件的升級版本。
美國政府于2019年對Evil Corp實(shí)施了制裁,為避免罰款和提起訴訟,大多數(shù)勒索軟件停止為受害人提供給WastedLocker運(yùn)營商的贖金服務(wù)。
但是,該公司聲稱他們已經(jīng)遵守法律,咨詢并放棄了所有必要的數(shù)據(jù)給聯(lián)邦調(diào)查局和美國財政部外國資產(chǎn)控制辦公室。簡而言之,CNA Financial遵循了當(dāng)前的所有準(zhǔn)則,以停止違反制裁措施,同時向威脅行為者支付贖金。
但是,根據(jù)內(nèi)部調(diào)查,進(jìn)行此活動的黑客并未受到制裁,因此CNA決定支付贖金。到目前為止,該公司仍繼續(xù)對該事件進(jìn)行少量更新,盡管它們在最新消息中確保注冊,訂閱或索賠系統(tǒng)不受到損害,因此機(jī)密的客戶信息是安全的。
恢復(fù)更新
后續(xù)CNA在官方網(wǎng)站上證實(shí),他們現(xiàn)在已完全恢復(fù)了所有內(nèi)部網(wǎng)絡(luò)并正常運(yùn)行。但是,對于進(jìn)一步的安全措施,并聲稱他們正在執(zhí)行以下所有要點(diǎn):
在新還原的系統(tǒng)上,他們正在部署高級端點(diǎn)檢測和監(jiān)視工具。
為了使他們的網(wǎng)絡(luò)完全安全,他們正在徹底掃描他們的系統(tǒng)。
在檢測到任何危害指標(biāo)時,立即采取補(bǔ)救措施。
在將系統(tǒng)重新聯(lián)機(jī)并確保它們干凈之前,該公司還進(jìn)行了兩次檢查。
這些類型的事件清楚地表明,黑客如何將這些勒索軟件操作用作竊取未加密數(shù)據(jù)的簡單且常見的策略。但是,每個人都應(yīng)注意,始終向黑客付費(fèi)并不能保證完全恢復(fù)。
另一方面,CNA發(fā)言人表示,該公司已同意使用法律準(zhǔn)則以解決此類事件。該公司已獲得聯(lián)邦調(diào)查局(FBI)和外國資產(chǎn)控制辦公室(OFAC)的咨詢。確定的是,盡管美國有針對此類情況采取行動的準(zhǔn)則,但美國當(dāng)局不建議為此類救助付款。
在上周的相關(guān)新聞中,保險公司AXA也成為了勒索軟件團(tuán)體的目標(biāo),據(jù)稱他們中的是Avaddon變體。在這種情況下,威脅行為者竊取了多達(dá)3TB的敏感信息,包括臨床記錄,銀行詳細(xì)信息,個人身份證和合同。
紅數(shù)位認(rèn)為即使CNA為了保險資料隱私數(shù)據(jù)支付了贖金,但是黑客是否就此徹底刪除資料且絲毫不泄露數(shù)據(jù),這是很難界定的,再有買手聯(lián)系到勒索團(tuán)隊(duì)要求購買,黑客是否會讓數(shù)據(jù)會再次泄露,這次花錢買單也只能看黑客團(tuán)體的素質(zhì)了。
題圖來源:https://mp.weixin.qq.com/s/44y7EzlhcUhQENyH1wXeFg
及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)
【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用
本文來源:紅數(shù)位
如涉及侵權(quán),請及時與我們聯(lián)系,我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話:400-869-9193 負(fù)責(zé)人:張明
工商執(zhí)照