El gigante de seguros CNA golpeado por el nuevo ransomware Phoenix CryptoLocker

El gigante de seguros CNA sufrió un ataque de ransomware utilizando una nueva variante llamada Phoenix CryptoLocker, que probablemente esté vinculada al grupo de piratas informáticos Evil Corp.

Esta semana, BleepingComputer informó que CNA sufrió un ataque cibernético que afectó sus servicios en línea y operaciones comerciales.

Inmediatamente después de que informamos del ataque, CNA emitió un comunicado confirmando que había sufrido un ciberataque el fin de semana pasado.

"El 21 de marzo de 2021, CNA determinó que había sufrido un sofisticado ataque de ciberseguridad. El ataque provocó una interrupción de la red e impactó algunos sistemas CNA, incluido el correo electrónico corporativo", reveló CNA en una declaración.

Si tiene información de primera mano sobre este o cualquier otro ciberataque no denunciado, puede contactarnos de manera confidencial en Signal al +16469613731 o en Wire en @ lawrenceabrams-bc.

CNA golpeado por un ataque de ransomware

Desde nuestro primer informe, BleepingComputer ha confirmado que CNA ha sido atacado por un nuevo ransomware conocido como "Phoenix CryptoLocker".

Fuentes familiarizadas con el ataque le dijeron a BleepingComputer que los atacantes desplegaron el ransomware en la red de CNA el 21 de marzo, donde cifró más de 15.000 dispositivos en su red.

BleepingComputer descubrió que también encriptaba las computadoras de los empleados que trabajaban de forma remota y que estaban conectados a la VPN de la empresa en el momento del ataque.

Mientras encriptaba los dispositivos, el ransomware agregó la extensión .Fénix extensión a los archivos cifrados y creó una nota de rescate llamada PHOENIX-HELP.txt, Como se muestra abajo.

A BleepingComputer también se le informó que CNA se restauraría a partir de copias de seguridad, pero no lo confirmó con la empresa.

Posibles enlaces a Evil Corp

Una fuente le dijo a BleepingComputer que se cree que Phoenix Locker es una nueva familia de ransomware lanzada por Evil Corp basada en similitudes en el código.

Evil Corp ha utilizado históricamente el ransomware WastedLocker al realizar ataques a organizaciones comprometidas.

Desde que el gobierno de EE. UU. Sancionó al grupo de piratas informáticos en 2019, la mayoría de las empresas comerciales de ransomware ya no facilitarían los pagos de rescate de WastedLocker para evitar multas o acciones legales.

Según un informe reciente de CrowdStrike, el grupo de piratas informáticos de Evil Corp cambió a una nueva familia de ransomware llamada Hades para eludir las sanciones de EE. UU.

Desde entonces, la nueva familia de ransomware Hades ha sido objeto de numerosos ataques, incluido un ataque de ransomware contra el gigante de camiones Forward Air.

Sin embargo, el análisis de CrowdStrike mostró que Hades es simplemente una versión renombrada de su ransomware WastedLocker usado anteriormente.

Se cree que el nuevo ransomware Phoenix Locker utilizado en el ataque de la CNA es otra Evil Corp.

Cuando BleepingComputer le preguntó a CNA sobre una conexión entre el sancionado Evil Corp y el grupo Phoenix, respondieron que no había conexión confirmada.

"El grupo de actores de amenazas, Phoenix, responsable de este ataque, no es una entidad sancionada y ninguna agencia del gobierno de EE. UU. Ha confirmado una relación entre el grupo que atacó a CNA y ninguna entidad sancionada. Hemos informado al FBI de este incidente y estamos colaborando activamente con ellos mientras investigan el incidente ".

Las compañías de seguros cibernéticos son un objetivo valioso

El ataque a CNA podría tener un gran impacto en otras empresas, especialmente en aquellas que tienen pólizas de seguro cibernético en toda la empresa.

Llevar a cabo ataques contra empresas con pólizas de seguro cibernético suele ser rentable para las bandas de ransomware, ya que es más probable que las compañías de seguros paguen el rescate.

No podría haber mejor manera de crear una lista de compañías aseguradas a las que dirigirse que piratear la red de una aseguradora y robar información sobre las pólizas de sus clientes.

Con esta información, una operación de ransomware puede crear una lista de compañías aseguradas y sus límites de póliza. Los operadores de ransomware podrían entonces crear demandas de rescate adaptadas para cubrir la política de una víctima en particular.

En la actualidad, no se sabe si los actores de la amenaza robaron archivos no cifrados antes de cifrar los dispositivos de CNA.

Sin embargo, el robo de datos no cifrados se ha convertido en una táctica común utilizada por las operaciones de ransomware, por lo que es probable que se roben algunos datos durante el ataque.