Verzekeringsmaatschappij CNA kon via een valse browserupdate in maart van dit jaar met ransomware besmet raken. Volgens bronnen betaalde de verzekeraar uiteindelijk veertig miljoen dollar losgeld aan de aanvallers. CNA meldt de werkwijze van de aanvallers in een datalekmelding aan de procureur-generaal van de Amerikaanse staat New Hampshire (pdf).
Uit onderzoek dat CNA naar de aanval liet uitvoeren bleek dat de aanvaller op 5 maart toegang kreeg tot het werkstation van een medewerker, door een valse browserupdate die werd uitgevoerd nadat de medewerker een legitieme website bezocht. Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren.
CNA stelt dat de medewerker in kwestie standaard rechten had, maar de aanvaller zijn rechten door middel van "aanvullende malafide activiteiten" wist te verhogen om zich zo lateraal door het netwerk te bewegen. Uiteindelijk wist de aanvaller op 20 maart de monitoring- en beveiligingssoftware uit te schakelen en verschillende back-ups te verwijderen. Vervolgens werd de ransomware uitgerold op het netwerk.
Voordat de ransomware werd uitgerold kopieerde de aanvaller eerst nog allerlei gegevens van het netwerk. Hiervoor gebruikte hij de tool MEGAsync. Hierbij werd data van het CNA-netwerk versleuteld en gekopieerd naar een account bij opslagdienst MEGA. Uit onderzoek waarbij de FBI betrokken was blijkt dat de naar MEGA gekopieerde data daar niet is bekeken of gedeeld.
In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine laat CNA weten dat de gegevens van ruim 75.000 mensen bij de aanval zijn gestolen. Daarnaast stelt de verzekeraar dat het maatregelen heeft genomen om dergelijke aanvallen in de toekomst te voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.