(Bloomberg) – A CNA Financial Corp., uma das maiores seguradoras dos Estados Unidos, pagou US $ 40 milhões no final de março para recuperar o controle de sua rede após um ataque de ransomware, segundo pessoas com conhecimento do ataque.
A empresa sediada em Chicago pagou aos hackers cerca de duas semanas depois que um tesouro de dados da empresa foi roubado e funcionários da CNA foram bloqueados de sua rede, de acordo com duas pessoas familiarizadas com o ataque que pediram para não serem identificadas porque não estavam autorizadas para discutir o assunto publicamente.
Em nota, um porta-voz da CNA disse que a empresa seguiu a lei. Ela disse que a empresa consultou e compartilhou inteligência sobre o ataque e a identidade do hacker com o FBI e o Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro, que disse no ano passado que facilitar o pagamento de resgate a hackers poderia representar riscos de sanções.
“A CNA não está comentando sobre o resgate”, disse a porta-voz Cara McCall.
“A CNA seguiu todas as leis, regulamentos e orientações publicadas, incluindo a orientação de ransomware do OFAC para 2020, ao lidar com este assunto.
Em uma atualização de incidente de segurança publicada em 12 de maio, a CNA disse que “não acredita que os sistemas de registro, sistemas de sinistros ou sistemas de subscrição, onde a maioria dos dados do segurado – incluindo os termos da apólice e limites de cobertura – estão armazenados, foram afetados. ”
Ataques de ransomeware aumentam exponencialmente
Ataques de ransomware – e particularmente pagamentos – raramente são divulgados, então é difícil saber quais foram os maiores resgates.
De acordo com a Palo Alto Networks, o pagamento médio em 2020 foi de $ 312.493, um aumento de 171% em relação ao ano anterior. O pagamento de US $ 40 milhões é maior do que qualquer pagamento anteriormente divulgado para hackers, de acordo com três pessoas familiarizadas com negociações de ransomware.
Os hackers do CNA usaram malware chamado Phoenix Locker, uma variante do ransomware apelidada de ‘Hades’. O Hades foi criado por um sindicato russo de crimes cibernéticos conhecido como Evil Corp., de acordo com especialistas em segurança cibernética.
A Evil Corp. foi sancionada pelos EUA em 2019. No entanto, atribuir ataques pode ser difícil porque grupos de hackers podem compartilhar códigos ou vender malware entre si.
A CNA, que oferece seguro cibernético, disse que sua investigação concluiu que os hackers eram um grupo chamado Phoenix, que não está sujeito às sanções dos EUA.
A divulgação do pagamento provavelmente atrairá a ira de legisladores e reguladores já insatisfeitos com o fato de as empresas americanas estarem fazendo grandes pagamentos a hackers criminosos que visaram hospitais, farmacêuticos, forças policiais e outras entidades críticas para a segurança pública no ano passado.
O FBI desencoraja as organizações a pagarem resgate porque incentiva ataques adicionais e não garante que os dados serão devolvidos.
Ransomware é um tipo de malware que criptografa os dados da vítima. Os cibercriminosos que usam ransomware também costumam roubar os dados.
Os hackers então pedem um pagamento para desbloquear os arquivos e prometem não vazar dados roubados. Nos últimos anos, os hackers têm buscado vítimas com apólices de seguro cibernético e grandes volumes de dados confidenciais de consumidores que os tornam mais propensos a pagar um resgate, de acordo com especialistas em segurança cibernética.
O ano passado foi um ano marcante para grupos de ransomware, de acordo com uma força-tarefa de especialistas em segurança e agências de aplicação da lei, que estimou que as vítimas pagaram cerca de US $ 350 milhões em resgate no ano passado, um aumento de 311% em relação a 2019.
A força-tarefa recomendou 48 ações que a administração Biden e o setor privado poderiam tomar medidas para mitigar esses ataques, incluindo uma melhor regulamentação do mercado de moeda digital usado para fazer pagamentos de resgate.
O relatório , preparado pelo Instituto de Segurança e Tecnologia, foi entregue à Casa Branca dias antes da Colonial Pipeline Co. ser comprometida em um ataque de ransomware que levou à escassez de combustível e longas filas em postos de gasolina ao longo da costa leste dos Estados Unidos. que a Colonial pagou aos hackers quase US $ 5 milhões logo após o ataque; O CEO da Colonial Joseph Blount, em entrevista ao Wall Street Journal publicada na quarta-feira, confirmou que a empresa pagou aos hackers – US $ 4,4 milhões em resgate.
De acordo com as duas pessoas familiarizadas com o ataque do CNA, a empresa inicialmente ignorou as demandas dos hackers enquanto buscava opções para recuperar seus arquivos sem se envolver com os criminosos.
Porém, em uma semana, a empresa decidiu iniciar negociações com os hackers, que exigiam US $ 60 milhões. O pagamento foi feito uma semana depois, de acordo com a população.
O Phoenix Locker parece ser uma variante do Hades com base na sobreposição do código usado em cada um, de acordo com Barry Hensley, diretor de inteligência de ameaças da empresa de segurança cibernética Secureworks Corp.
“Temos um alto grau de confiança de que é uma variante do Hades”, Hensley disse. Ele disse que não determinou quais hackers usaram a variante Hades para atacar o CNA.
Hades foi criado pela Evil Corp. para contornar as sanções dos EUA impostas ao grupo de hackers, de acordo com uma pesquisa publicada em março pela empresa de segurança cibernética CrowdStrike Holdings Inc.
Em dezembro de 2019, o Departamento do Tesouro anunciou sanções contra 17 indivíduos e seis entidades ligadas à Evil Corp.
Na época, o Departamento do Tesouro disse que a Evil Corp usou malware “para infectar computadores e colher credenciais de login de centenas de bancos e instituições financeiras em mais de 40 países, causando mais de US $ 100 milhões em roubos. ” A designação pelo Departamento do Tesouro tornava ilegal para uma empresa norte-americana pagar conscientemente um resgate à Evil Corp.
As demandas de ransomware aumentaram exponencialmente nos últimos seis meses, de acordo com Melissa Hathaway, presidente da Hathaway Global Strategies e ex-consultora de segurança cibernética dos presidentes George W. Bush e Barack Obama.
A demanda média de resgate está agora entre US $ 50 milhões e US $ 70 milhões, disse Hathaway. Embora essas demandas sejam freqüentemente negociadas, ela disse que as empresas freqüentemente pagam resgates na casa das dezenas de milhões de dólares, em parte porque as apólices de seguro cibernético cobrem parte ou todo o custo. Ela estimou que o pagamento médio fica entre US $ 10 milhões e US $ 15 milhões.
Fonte: Com informações de Bloomberg
Copyright 2021 Bloomberg. Todos os direitos reservados.
Chefe da Colonial Pipeline confirma pagamento de resgate de $ 4,4 milhões
Dridex se sobressai diante do aumento global de ataques de ransomware
Hack de água na Flórida destaca os riscos de trabalho de acesso remoto sem segurança adequada
Falta de segurança de dados pode causar danos financeiros e judiciais inimagináveis