Poisťovňa CNA Financial údajne vyplatila hackerom 40 miliónov dolárov ako výkupné

Americký poisťovací gigant CNA Financial údajne zaplatil 40 miliónov dolárov ransomvérovému gangu za obnovenie prístupu k jeho systémom po útoku v marci, čo z neho robí jedno z najdrahších výkupných zaplatených doteraz.

O vývoji ako prvý informovala agentúra Bloomberg s odvolaním sa na „ľudí so znalosťou útoku“. Protivník, ktorý zinscenoval vniknutie, údajne požadoval 60 miliónov dolárov týždenne po tom, čo spoločnosť so sídlom v Chicagu začala rokovania s hackermi, ktoré vyvrcholili platbou dva týždne po krádeži firemných údajov.

Vo vyhlásení zdieľanom 12. mája CNA Financial uviedla, že “nemá žiadne dôkazy, ktoré by naznačovali, že externí zákazníci boli potenciálne vystavení riziku infekcie v dôsledku incidentu.”

Útok sa pripisuje novému ransomvéru s názvom „Phoenix CryptoLocker“, podľa marcovej správy od Bleeping Computer, pričom tento kmeň je považovaný za odnož WastedLocker a Hades, pričom obe boli použité spoločnosťou Evil Corp, ruským počítačovým zločinom. sieť, ktorá je známa spúšťaním ransomvérových útokov proti niekoľkým americkým subjektom, vrátane Garminu, a nasadením JabberZeus, Bugat a Dridex na sifónové bankové poverenia.

V decembri 2019 americké úrady sankcionovali hackerskú skupinu a vzniesli obvinenia proti údajným vodcom spoločnosti Evil Corp Maksimovi Yakubetsovi a Igorovi Turashevovi za vývoj a distribúciu bankového trójskeho koňa Dridex s cieľom ulúpiť viac ako 100 miliónov dolárov počas obdobia 10 rokov. Orgány činné v trestnom konaní tiež vypísali odmenu až $5 miliónov za poskytnutie informácií, ktoré by mohli viesť k ich zatknutiu. Obe osoby zostávajú na slobode.

Tento vývoj prichádza uprostred prudkého nárastu incidentov ransomvéru, čiastočne podporovaného pandémiou, pričom priemerná platba výkupného zaznamenala medziročný nárast o 171 % zo 115 123 USD v roku 2019 na 312 493 USD v roku 2020. Minulý rok bol zaznamenaný aj najvyšší ransomvér dopyt rastie na 30 miliónov dolárov, nehovoriac o celkovej sume zaplatenej obeťami, ktorá podľa konzervatívnych odhadov raketovo stúpa na 406 miliónov dolárov.

Výkupné 40 miliónov dolárov od CNA Financial len ukazuje, že rok 2021 bude aj naďalej skvelým rokom pre ransomvér, ktorý potenciálne povzbudí kyberzločinecké gangy, aby hľadali väčšie výplaty a presadzovali svoje nezákonné ciele.

Podľa analýzy spoločnosti Coveware na obnovu ransomvéru sa priemerný dopyt po platbe za digitálne vydieranie v prvom štvrťroku 2021 vyšplhal na 220 298 USD, čo je o 43 % viac v porovnaní so 4. štvrťrokom 2020, z čoho 77 % útokov zahŕňalo hrozbu úniku. údajov, čoraz rozšírenejšia taktika známa ako dvojité vydieranie.

Zatiaľ čo vláda USA bežne neodporúča platiť výkupné, vysoké stávky spojené s vystavením údajov nechávali obetiam len málo možností, ako sa vyrovnať so svojimi útočníkmi. V októbri 2020 ministerstvo financií vydalo varovanie pred sankciami voči spoločnostiam, ktoré vyplácajú výkupné sankcionovanej osobe alebo skupine, čím vyzvalo firmy na vyjednávanie o ransomvéri, aby sa vyhli uzavretiu dohody so zablokovanými skupinami, ako je Evil Corp, aby sa vyhli právnemu konaniu.

„Spoločnosti, ktoré uľahčujú platby za ransomvér kybernetickým aktérom v mene obetí, vrátane finančných inštitúcií, kybernetických poisťovacích firiem a spoločností zapojených do digitálnej forenznej analýzy a reakcie na incidenty, nielen podporujú budúce požiadavky na platby za ransomvér, ale môžu tiež riskovať porušenie pravidiel. [Office of Foreign Assets Control] predpisov,“ uviedol rezort.

Prudký nárast ransomvérových útokov mal dopad aj na odvetvie kybernetického poistenia, čo s tým, že AXA začiatkom tohto mesiaca oznámila, že prestane preplácať klientom vo Francúzsku, ak sa rozhodnú platiť akékoľvek vydieračské platby kartelom ransomvéru, čo zdôrazňuje dilemu, že „poisťovacie firmy zápasiť s úspešným upisovaním pravidiel ransomvéru a zároveň čeliť rastúcim nákladom na výplaty, ktoré ohrozujú ziskovosť.“

Správa, ktorú vo štvrtok zverejnil Úrad vlády USA pre zodpovednosť (GAO), skutočne odhalila, že stúpajúci dopyt po kybernetickom poistení prinútil poisťovateľov zvyšovať poistné a obmedzovať krytie. Výška celkového priameho predpísaného poistného medzi rokmi 2016 a 2019 vyskočila o 50 % z $2.1 miliardy až $3.1 miliardy. Faktorom sú aj vyššie straty poisťovní vyplývajúce z oslabujúcich útokov ransomvéru, uviedla agentúra.

„Neustále sa zvyšujúca frekvencia a závažnosť kybernetických útokov, najmä ransomvérových útokov, viedla poisťovateľov k zníženiu limitov kybernetického krytia pre určité rizikovejšie priemyselné odvetvia, ako je zdravotníctvo a školstvo, a pre verejné subjekty, a pridali špecifické limity na pokrytie ransomvérom,“ uviedol v správe vládny dozorný orgán.

Na obranu pred útokmi ransomvéru sa odporúča zabezpečiť všetky režimy počiatočného prístupu využívané aktérmi hrozieb na infiltráciu sietí, udržiavanie pravidelných záloh údajov a udržiavanie vhodného procesu obnovy.

„Organizácie by mali udržiavať povedomie používateľov a školiť sa v oblasti zabezpečenia e-mailov, ako aj zvážiť spôsoby identifikácie a nápravy škodlivého e-mailu hneď, ako vstúpi do poštovej schránky zamestnanca,“ uviedli vedci z oddelenia 42 Palo Alto Networks.

“Organizácie by tiež mali zabezpečiť, aby vykonávali riadnu správu záplat a preskúmali, ktoré služby môžu byť vystavené internetu. Služby vzdialenej pracovnej plochy by mali byť správne nakonfigurované a zabezpečené s použitím zásady najmenšieho privilégia, kedykoľvek je to možné, so zavedenou politikou na zisťovanie vzorov spojených s útoky hrubou silou“.