Chicagská poisťovacia spoločnosť CNA sa minulú nedeľu stala obeťou ransomvéru Phoenix CryptoLocker. Web spoločnosti ešte aj dnes iba krátko oznamuje útok a odkazuje klientov na záložné emailové adresy.
CNA patrí medzi najväčšie komerčné organizácie svojho druhu v USA. Ransomvér vo firemnej sieti zašifroval viac ako 15 tisíc zariadení. Ušetrení neboli ani zamestnanci pracujúci z home office, ktorí sa do siete pripájali prostredníctvom VPN.
Útok spôsobil narušenie siete a zasiahol určité systémy CNA vrátane korporátneho emailu.
Útočníci sa pri vývoji malvéru zrejme inšpirovali bájnym fénixom. Použili ho pri poznámke s informáciami o vymáhaní výkupného a za zašifrované súbory pripojili koncovku .phoenix.
Výskumníci na základe podobností v kóde usudzujú, že Phoenix CryptoLocker patrí k novej ransomvérovej rodine ruskej skupiny Evil Corp. Tá sa okrem iného preslávila ransomvérom WastedLocker, ktorý po uvalení amerických sankcií premenila v rodinu Hades. Gang stál napríklad aj za útokmi na britské banky.
Prepojenie medzi Evil Corp a skupinou za ransomvérom Phoenix ale nateraz predstavuje len dohady a nebolo oficiálne potvrdené.
Lukratívny taktický cieľ
Krátko po odhalení útoku mala CNA podľa vlastných tvrdení zaviesť okamžité interné opatrenia na ochranu svojich klientov. Spoločnosť nahlásila útok kompetentným bezpečnostným zložkám a vyhľadala pomoc externých odborníkov, ktorí majú pomôcť s prešetrovaním príčin a priebehu útoku.
Zatiaľ sa nepotvrdilo žiadne odcudzenie údajov zákazníkov alebo akcionárov spoločnosti. Keďže CNA poisťuje aj pred kyberútokmi, vystali oprávnené obavy, či sa útočníkom nepodarilo dostať k informáciám o technickom zabezpečení jednotlivých klientov.
Mohlo by to umožniť ďalšie obzvlášť ničivé incidenty, ktoré by hackeri mohli použiť ako páku pri pokusoch o vydieranie.
Vzhľadom na rozsah útoku poisťovateľ dočasne pozastavil internetové pripojenie ku všetkým svojim zariadeniam. Podľa predbežných informácií neplánuje zaplatiť výkupné, ale obnoviť systém pomocou zálohovaných údajov.
Prípad CNA podčiarkuje fakt, že útoky voči spoločnostiam, ktoré poskytujú poistenie proti kyberútokom a udržujú záznamy takýchto klientov, budú čoraz populárnejšie. Práve ony totiž s väčšou pravdepodobnosťou výkupné zaplatia.
Jana Tuhrinová