El nombre Phoenix Cryptolocker puede sonar familiar ya que el 21 de marzo de este año, la CNA sufrió un sofisticado ataque de ciberseguridad por esta amenaza que provocó una interrupción de la red e impactó algunos sistemas CNA, incluido el correo electrónico. electrónica corporativa donde cifró más de 15.000 dispositivos en su red.
Según la supuesta conexión con el grupo de amenazas de Evil Corp, el acceso inicial a la red se realiza a través del Protocolo de escritorio remoto o mediante el uso de credenciales comprometidas para acceder a VPS. Este ransomware se hace pasar por software legítimo firmado con un certificado digital emitido por "Saturday City Limited" y engaña al usuario para que inicie el software.
Una vez que se ejecuta el ransomware, enumera las carpetas y directorios del sistema para extensiones de archivo específicas, cifra los archivos de destino y agrega una extensión ".phoenix" a los archivos cifrados y, como con todo ransomware, deja una nota de rescate.
Se cree que Phoenix CryptoLocker es una nueva familia de ransomware lanzada por Evil Corp basada en similitudes en el código. Evil Corp ha utilizado históricamente el ransomware WastedLocker al atacar organizaciones comprometidas. Desde que el gobierno de EE. UU. Sancionó al grupo de piratas informáticos en 2019, la mayoría de las empresas comerciales de ransomware ya no facilitarían los pagos de rescate de WastedLocker para evitar multas o acciones legales.
El ataque a CNA podría tener un gran impacto en otras empresas, especialmente aquellas que tienen pólizas de seguro cibernético en toda la empresa. Llevar a cabo ataques contra empresas con pólizas de seguro cibernético suele ser rentable para las bandas de ransomware, ya que es más probable que las compañías de seguros paguen el rescate. No podría haber mejor manera de crear una lista de compañías aseguradas a las que dirigirse que piratear la red de una aseguradora y robar información sobre las pólizas de sus clientes.
Lo mejor que puede hacer contra estas amenazas es:
▸ No otorgue niveles de acceso o permisos a ciertos usuarios
▸ Aísle las máquinas infectadas de la red
▸ Mantener y actualizar la copia de seguridad de todos los datos
▸ Actualice todas las credenciales con unas sólidas y seguras
▸ Utilice la versión actualizada de las herramientas de detección, prevención y seguridad antivirus
▸ Utilice la autenticación multifactorial para todas las cuentas del sistema
