Afgelopen maart werd verzekeringsbedrijf CNA Finance getroffen door een ransomware aanval. Volgens het bedrijf zelf ging het om een verfijnde cybersecurity aanval. Nu blijkt dat CNA 40 miljoen dollar aan losgeld heeft betaald aan de hackers.
Ransomware-aanvallen zijn dit jaar bijna dagelijks in het nieuws. Dat komt doordat ze erg lucratief zijn voor hackers. Zelfs als de meeste slachtoffers niet betalen, zijn er altijd een paar die dat wel doen, zoals CNA. Door het betalen van losgeld moedig je ransomwarebendes echter aan om nog meer slachtoffers te maken. En het kan zelfs in strijd zijn met de wet.
In een verklaring laat CNA weten dat het bedrijf volgens de wet handelde en informatie over de aanval had gedeelt met de Amerikaanse FBI en het Treasury Department Office of Foreign Assets Control. Afgelopen oktober zei het Treasury Department echter nog dat het betalen van ransomware losgeld illegaal is en dat bedrijven ervoor kunnen worden vervolgd.
“CNA geeft geen commentaar op het losgeld”, zegt een woordvoerder voor CNA. “CNA heeft alle wetten en richtlijnen gevolgd, waaronder OFAC’s 2020 ransomware guidance, bij het afhandelen van de kwestie”, aldus de woordvoerder voor CNA.
Sancties omzeild via Hades ransomware
In een update die CNA op 12 mei naar buiten bracht, liet de organisatie weten ijverig samen te werken met externe experts om vast te stellen wat er gebeurde tijdens de aanval. Het bedrijf liet weten dat ervan overtuigd te zijn dat de aanvaller dankzij al deze inspanningen geen toegang meer heeft gehad sinds het ransomware-incident.
Ten tijde van de aanval op CNA, leek het erop dat de REvil ransomware gang erachter zat. Later bleek dat het om de Phoenix Locker malware (ook wel ‘Hades’ genoemd) ging. Deze malware wordt veel gebruikt door hackgroep Evil Corp.
In december 2019 legde het Treasuruy Department Office of Foreign Assets Control sancties op aan Evil Corp. Wanneer slachtoffers losgeld zouden betalen aan Evil Corp, zouden ze tegen deze sancties ingaan. Door gebruik te maken van Hades, omzeilt Evil Corp deze sancties. Het is niet helemaal duidelijk hoe dit precies gebeurt. Volgens SiliconANGLE is dit precies wat er gebeurde in het geval van CNA.