El gigante estadounidense de seguros CNA Financial habría pagado 40 millones de dólares a una banda de ransomware para recuperar el acceso a sus sistemas tras un ataque en marzo, lo que lo convierte en uno de los rescates más caros pagados hasta la fecha.
El desarrollo fue informado por primera vez por Bloomberg, citando a «personas con conocimiento del ataque». Se dice que el adversario que organizó la intrusión supuestamente exigió $ 60 millones una semana después de que la empresa con sede en Chicago comenzara las negociaciones con los piratas informáticos, que culminaron con el pago dos semanas después del robo de datos de la empresa.
En un comunicado compartido el 12 de mayo, CNA Financial dijo que «no tenía evidencia que indicara que los clientes externos estuvieran potencialmente en riesgo de infección debido al incidente».
El ataque se ha atribuido a un nuevo ransomware llamado ‘Phoenix CryptoLocker’, según un informe de marzo de Bleeping Computer, y se cree que la cepa es una rama de WastedLocker y Hades, los cuales han sido utilizados por Evil Corp, un ciberdelito ruso. red notoria por lanzar ataques de ransomware contra varias entidades estadounidenses, incluido Garmin, y por implementar JabberZeus, Bugat y Dridex para desviar las credenciales bancarias.
En diciembre de 2019, las autoridades estadounidenses sancionaron al grupo de hackers y presentaron cargos contra los presuntos líderes de Evil Corp, Maksim Yakubets e Igor Turashev, por desarrollar y distribuir el troyano bancario Dridex para saquear más de 100 millones de dólares durante un período de 10 años. Los organismos encargados de hacer cumplir la ley también anunciaron una recompensa de hasta 5 millones de dólares por proporcionar información que pudiera conducir a su arresto. Ambos individuos siguen prófugos.
El desarrollo se produce en medio de un fuerte aumento en los incidentes de ransomware, en parte impulsado por la pandemia, con el pago promedio de rescate presenciando un aumento masivo del 171% año tras año de $ 115,123 en 2019 a $ 312,493 en 2020. El año pasado también vio el La mayor demanda de ransomware creció a $ 30 millones, sin mencionar que la cantidad total pagada por las víctimas se disparó a $ 406 millones, según estimaciones conservadoras.
El rescate de $ 40 millones de CNA Financial solo muestra que 2021 sigue siendo un gran año para el ransomware, lo que podría animar a las bandas de ciberdelincuentes a buscar pagos más grandes y avanzar en sus objetivos ilícitos.
Según un análisis de la empresa de recuperación de ransomware Coveware, la demanda promedio de un pago de extorsión digital se disparó en el primer trimestre de 2021 a $ 220,298, un 43% más que en el cuarto trimestre de 2020, de los cuales el 77% de los ataques involucraron la amenaza de fuga. datos exfiltrados, una táctica cada vez más frecuente conocida como doble extorsión.
Si bien el gobierno de los EE. UU. ha desaconsejado rutinariamente el pago de rescates, las altas apuestas asociadas con la exposición de datos han dejado a las víctimas sin otra opción que llegar a un acuerdo con sus atacantes. En octubre de 2020, el Departamento del Tesoro emitió una advertencia de orientación sobre sanciones contra las empresas que realizan pagos de rescate a una persona o grupo sancionado, lo que llevó a las empresas de negociación de ransomware a evitar llegar a un acuerdo con grupos bloqueados como Evil Corp para evadir acciones legales.
«Las empresas que facilitan los pagos de ransomware a los actores cibernéticos en nombre de las víctimas, incluidas las instituciones financieras, las empresas de seguros cibernéticos y las empresas involucradas en el análisis forense digital y la respuesta a incidentes, no solo fomentan las futuras demandas de pago de ransomware, sino que también pueden correr el riesgo de violar [Office of Foreign Assets Control] regulaciones», dijo el departamento.
El aumento de los ataques de ransomware también ha tenido un impacto en la industria de los seguros cibernéticos, ya que AXA anunció a principios de este mes que dejará de reembolsar a los clientes en Francia si optan por realizar pagos de extorsión a los cárteles de ransomware, lo que subraya el dilema de que «las compañías de seguros lidiar con la suscripción exitosa de pólizas de ransomware mientras se enfrenta a costos de pago crecientes que amenazan la rentabilidad».
De hecho, un informe publicado el jueves por la Oficina de Responsabilidad del Gobierno de EE. UU. (GAO, por sus siglas en inglés) reveló que la creciente demanda de seguros cibernéticos ha llevado a las aseguradoras a aumentar las primas y limitar la cobertura. El monto de las primas directas totales suscritas aumentó un 50 % entre 2016 y 2019, de $ 2,100 millones a $ 3,100 millones. Las pérdidas más altas de las aseguradoras derivadas de los debilitantes ataques de ransomware también son un factor, dijo la agencia.
«La frecuencia y la gravedad cada vez mayores de los ataques cibernéticos, especialmente los ataques de ransomware, han llevado a las aseguradoras a reducir los límites de cobertura cibernética para ciertos sectores industriales más riesgosos, como la atención médica y la educación, y para las entidades públicas, y a agregar límites específicos en la cobertura de ransomware», dijo el organismo de control del gobierno señaló en el informe.
Para defenderse de los ataques de ransomware, se recomienda asegurar todos los modos de acceso inicial explotados por los actores de amenazas para infiltrarse en las redes, mantener copias de seguridad periódicas de los datos y mantener un proceso de recuperación adecuado.
«Las organizaciones deben mantener la concienciación y la capacitación de los usuarios sobre la seguridad del correo electrónico, así como considerar formas de identificar y remediar el correo electrónico malicioso tan pronto como ingrese al buzón de correo de un empleado», dijeron los investigadores de la Unidad 42 de Palo Alto Networks.
«Las organizaciones también deben asegurarse de realizar una gestión de parches adecuada y revisar qué servicios pueden estar expuestos a Internet. Los servicios de escritorio remoto deben configurarse y protegerse correctamente, utilizando el principio de privilegio mínimo siempre que sea posible, con una política implementada para detectar patrones asociados con ataques de fuerza bruta».
