美大型保險公司CNA傳出遭勒索軟體Phoenix CryptoLocker攻擊

美國大型保險業者CNA近日表示他們於3月21日遭到網路攻擊，導致網路中斷，影響部分系統運作，傳出這起事故疑似是遭到勒索軟體攻擊。現在消息人士透露更多訊息，包含勒索軟體相關的螢幕截圖，以及背後發動攻擊的駭客組織身分等。根據Bleeping Computer於東部標準時間（EST）3月25日下午2時（臺灣時間26日凌晨2時）的報導，有知情人士告訴他們，CNA遭到名為Phoenix CryptoLocker的勒索軟體攻擊，並公布一張勒索訊息的截圖。

這名知情人士指出，駭客在3月21日於CNA的內部網路部署勒索軟體，並加密了超過15,000臺裝置。此外，受害範圍還包含透過VPN遠端存取公司資源的員工，他們的電腦檔案也遭到加密。一旦電腦遭到Phoenix CryptoLocker攻擊，被加密的檔案副檔名會變成.phoenix，該勒索軟體也會在電腦裡留下勒索訊息的純文字檔案「PHOENIX-HELP.txt」。

不過，從這名人士提供的螢幕截圖來看，似乎不像其他勒索軟體留下的訊息會提及受害公司的名稱，駭客僅提供聯繫的管道，包含Telegram網址與電子郵件信箱。

至於攻擊者的身分為何？其中一個消息來源透露，從勒索軟體的程式碼來分析，他們研判Phoenix CryptoLocker是出自駭客組織Evil Group。這個駭客組織之前曾使用另一個勒索軟體WastedLocker，先後對美國大型企業、臺灣GPS大廠Garmin發動攻擊，但他們為何要換另一個勒索軟體來發動攻擊？很有可能與該組織成員自2019年底遭到美國起訴有關。

Bleeping Computer指出，自從Evil Corp遭到起訴後，許多居間於駭客和受害者之間的談判公司，為了避免遭到美國政府處罰，他們不願碰觸WastedLocker有關的談判案件。而該新聞網站也引用資安公司CrowdStrike的研究指出，Evil Corp很有可能是因為規避上述收不到贖金、甚至面臨法律制裁的情況，而開始換用名為Hades的新勒索軟體家族，但CrowdStrike分析後發現，這其實只是WastedLocker更名版本的勒索軟體。

因此，消息來源的人士認為，Phoenix CryptoLocker很有可能是Evil Corp使用的另一個勒索軟體。

不過，當Bleeping Comupter向CNA確認是否就是遭到Evil corp攻擊時，CNA認為使用Phoenix CryptoLocker的駭客組織是「Phoenix」，但他們還無法確定是否與Evil Corp有關。不過，這也形同CNA間接承認遭到勒索軟體攻擊，以及發起攻擊的駭客組織名為Phoenix。