在全面恢复系统两个月后,美国领先的保险公司CNA Financial向新罕布什尔州消费者保护局(Consumer Protection Bureau)发布了一份信息安全事故的法律通知。CNA Financial遭到一个使用Phoenix CryptoLocker勒索软件的组织的攻击。
你可能还记得Phoenix cryptolocker——或者简单的Phoenix——是一个勒索软件家族据信与邪恶集团有关.CNA的网络在2021年3月遭到破坏。这则通知让每个读者了解了攻击是如何发生的,CNA做了什么,以及他们继续为那些数据受到勒索软件攻击和数据泄露影响的人做什么。
Phoenix作为浏览器更新
据中央社其中一位员工能够在访问合法网站后下载和执行假浏览器更新。通知未指定此员工使用此员工的官方网站是否是浏览器的官方网站。没有提升特权的员工并没有阻止威胁演员随后通过攻击。相反,他们使用“额外的恶意活动”来获取他们需要前进的凭据。攻击者通常使用权限升级漏洞来增加其访问权限,或者工具Mimikatz.它可以从电脑内存中提取密码。
“具有升高的特权,威胁演员在环境中横向移动,进行侦察,并在环境中的某些系统上建立持久性。2021年3月5日至3月20日之间,威胁演员使用合法的工具和合法的凭证在CNA的IT环境中进行了侦察,以避免检测并建立持久性,“公司透露。
以这种方式使用合法的管理工具和账户来探索网络并传播恶意软件被称为“生活在土地上”。它允许攻击者在进行他们的活动时保持低调,因为他们的活动看起来不会不合适,他们的工具通常不会被默认的安全软件检测到。
在威胁演员引爆赎金软件后,至少有15,000个系统,包括通过VPN连接到CNA网络的设备。
数据被窃取但未动
CNA在执行Phoenix之前,威胁行动者能够窃取重要和敏感的信息影响75349人.其中大量人数是当前和前雇员的名称,加上他们的家属及其社会安全号码(SSN)。另一方面,受影响的少数受影响的出生日期,福利入学和医疗信息。
至于这些数据是如何被窃取的,威胁参与者“复制、压缩和分级从三个CNA虚拟服务器上的文件共享中获得的非结构化数据;并使用合法的MEGAsync工具,从CNA环境中直接复制一些非结构化数据(“导出数据”)到Mega NZ Limited(“Mega”)托管的威胁参与者的基于云的帐户(“Mega帐户”)。
根据CNA的通知,它能够与FBI和“云存储平台”(大概这意味着Mega)合作,“控制帐户并迅速恢复CNA的数据”。CNA认为数据被举行,以便攻击者可能会威胁泄漏,这是现代赎金软件攻击中的共同策略。该公司报告说,其法医专家可以发现没有证据表明数据是“查看或以其他方式共享”的证据;因此,它从未被威胁演员本身访问,以便出售,交易或用于其他邪恶的目的。
从ransomware中恢复
攻击发生两个月后曝光的这一信息表明,从勒索软件中恢复并非易事。为了让企业重新运转,除了必须克服明显的技术问题外,还必须发现并解决根本原因,可能还有法律和监管障碍需要克服。
在我们锁和代码播客的最近一集中,主持人David Ruiz与Ski Kacoroski-A系统管理员与华盛顿州的北海校区 - 关于立即反应,计划的反应和漫长的道路从赎金软件攻击中恢复.您可以在下面或on苹果播客,Spotify, 和谷歌播客.
评论