Seguros CNA restaura completamente los sistemas después del ataque de ransomware

La compañía de seguros líder en EE. UU. CNA Financial ha restaurado completamente los sistemas luego de un ataque de ransomware Phoenix CryptoLocker que golpeó su red a fines de marzo e interrumpió los servicios en línea y las operaciones comerciales.

CNA ofrece una amplia gama de productos de seguros, incluidas las pólizas de seguro cibernético, y es la sexta compañía de seguros comerciales más grande de los EE. UU. Según las estadísticas proporcionadas por el  Instituto de Información de Seguros .

Fuentes familiarizadas con el ataque de ransomware dijeron a BleepingComputer que los atacantes cifraron más de 15.000 dispositivos después de implementar cargas útiles de ransomware en la red de CNA el 21 de marzo .

"El 21 de marzo de 2021, como se compartió anteriormente, detectamos el ransomware y tomamos medidas inmediatas desconectando proactivamente nuestros sistemas de nuestra red para contener la amenaza y evitar que otros sistemas se vean afectados", dijo CNA en una actualización publicada el miércoles.

BleepingComputer también se enteró en ese momento que los operadores de Phoenix CryptoLocker también cifraron las computadoras de los trabajadores remotos conectados a la VPN de la empresa durante el ataque.

Los sistemas ahora están completamente restaurados

"CNA está completamente restaurado y estamos operando como de costumbre. Nuestros equipos de TI y socios externos han trabajado arduamente para restaurar la operatividad comercial", dijo la compañía el miércoles.

"Nos complace que en poco tiempo desde el evento de ransomware, ahora estemos operando en un estado completamente restaurado".

La compañía de seguros implementó herramientas de monitoreo y detección de endpoints en los sistemas recientemente restaurados durante el proceso de recuperación.

CNA también se aseguró de que los sistemas restaurados no se volvieran a infectar al escanearlos nuevamente antes de volver a ponerlos en línea.

Mientras investigaba el impacto en los datos almacenados en sus sistemas, el proveedor de seguros no encontró ninguna evidencia de que la información robada del asegurado fuera intercambiada o puesta a la venta en la web oscura o foros de piratería.

"No creemos que los sistemas de registro, los sistemas de reclamos o los sistemas de suscripción, donde se almacena la mayoría de los datos de los titulares de pólizas, incluidos los términos de la póliza y los límites de cobertura, se hayan visto afectados", agregó CNA .

"Es importante destacar que CNA ha estado realizando exploraciones en la web oscura y búsquedas de información relacionada con CNA y, en este momento, no tenemos ninguna evidencia de que los datos relacionados con este ataque se estén compartiendo o utilizando indebidamente".


Las empresas de seguros cibernéticos son un objetivo valioso

Los ataques a empresas con pólizas de seguro cibernético son muy lucrativos para los grupos de ransomware, ya que es más probable que paguen el rescate.

Sin embargo, violar la red de un proveedor de seguros y robar la información de las pólizas de los clientes podría ser una forma aún más lucrativa de aumentar la efectividad de sus ataques.

Con la ayuda de estos datos, las bandas de ransomware pueden crear fácilmente una lista de compañías aseguradas, incluidos los límites de sus pólizas, para apuntar en el futuro.

Lo más probable es que esto también haga posible las demandas de rescate adaptadas a la cobertura de la póliza de cada víctima.

En una  entrevista reciente , la operación de ransomware REvil dijo que piratear los sistemas de las aseguradoras ayuda a crear listas de posibles objetivos con más probabilidades de pagar un rescate.

Si bien en este momento, aún no se sabe si el grupo de ransomware ha robado archivos sin cifrar antes de cifrar los sistemas de CNA, la compañía dijo que cumpliría con las "obligaciones de notificación a los asegurados y las personas afectadas".

El uso de la doble extorsión como táctica se ha convertido en un lugar común para la  mayoría de las operaciones activas de ransomware , y las víctimas alertan periódicamente a sus clientes o empleados sobre posibles violaciones de datos tras los ataques de ransomware.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta