圖片來源: 

Bleeping Computer

美國大型保險業者CNA近日表示他們於3月21日遭到網路攻擊,導致網路中斷,影響部分系統運作,傳出這起事故疑似是遭到勒索軟體攻擊。現在消息人士透露更多訊息,包含勒索軟體相關的螢幕截圖,以及背後發動攻擊的駭客組織身分等。根據Bleeping Computer於東部標準時間(EST)3月25日下午2時(臺灣時間26日凌晨2時)的報導,有知情人士告訴他們,CNA遭到名為Phoenix CryptoLocker的勒索軟體攻擊,並公布一張勒索訊息的截圖。

這名知情人士指出,駭客在3月21日於CNA的內部網路部署勒索軟體,並加密了超過15,000臺裝置。此外,受害範圍還包含透過VPN遠端存取公司資源的員工,他們的電腦檔案也遭到加密。一旦電腦遭到Phoenix CryptoLocker攻擊,被加密的檔案副檔名會變成.phoenix,該勒索軟體也會在電腦裡留下勒索訊息的純文字檔案「PHOENIX-HELP.txt」。

不過,從這名人士提供的螢幕截圖來看,似乎不像其他勒索軟體留下的訊息會提及受害公司的名稱,駭客僅提供聯繫的管道,包含Telegram網址與電子郵件信箱。

至於攻擊者的身分為何?其中一個消息來源透露,從勒索軟體的程式碼來分析,他們研判Phoenix CryptoLocker是出自駭客組織Evil Group。這個駭客組織之前曾使用另一個勒索軟體WastedLocker,先後對美國大型企業臺灣GPS大廠Garmin發動攻擊,但他們為何要換另一個勒索軟體來發動攻擊?很有可能與該組織成員自2019年底遭到美國起訴有關。

Bleeping Computer指出,自從Evil Corp遭到起訴後,許多居間於駭客和受害者之間的談判公司,為了避免遭到美國政府處罰,他們不願碰觸WastedLocker有關的談判案件。而該新聞網站也引用資安公司CrowdStrike的研究指出,Evil Corp很有可能是因為規避上述收不到贖金、甚至面臨法律制裁的情況,而開始換用名為Hades的新勒索軟體家族,但CrowdStrike分析後發現,這其實只是WastedLocker更名版本的勒索軟體。

因此,消息來源的人士認為,Phoenix CryptoLocker很有可能是Evil Corp使用的另一個勒索軟體。

不過,當Bleeping Comupter向CNA確認是否就是遭到Evil corp攻擊時,CNA認為使用Phoenix CryptoLocker的駭客組織是「Phoenix」,但他們還無法確定是否與Evil Corp有關。不過,這也形同CNA間接承認遭到勒索軟體攻擊,以及發起攻擊的駭客組織名為Phoenix。


熱門新聞

Advertisement