Ransomware dostał się przez „fałszywą aktualizację przeglądarki”. Zaszyfrowane ~15000 systemów.

Chodzi o atak który miał miejsce w marcu tego roku, a ofiarą był jeden z większych ubezpieczycieli w USA – CNA Financial.

Wg relacji, jeden z pracowników pobrał „fałszywą aktualizację przeglądarki” z (o dziwo) normalnego serwisu (może wstrzyknięta złośliwa reklama?).

Następnie atakujący podnieśli uprawnienia do administratora. Następnie rekonesans i pełne (niezamówione testy penetracyjne):

 then moved laterally through CNA’s network, breaching and establishing persistence on more devices

Nie zabrakło również usuwania backupów i finalnie uruchomienie ransomware:

[they] disabled certain CNA back-ups; and deployed ransomware onto certain systems within the environment, leading CNA to proactively disconnect systems globally as an immediate containment measure.

Wg doniesień zaszyfrowana była również część PCtów pracowników, które były podłączone VPNem:

ransomware operators encrypted remote workers’ devices logged into the company’s VPN during the attack.

Chcecie dowiedzieć się więcej o tym, jak ransomware dostaje się do firm? Oglądnijcie nasz 2.5h materiał:

–Michał Sajdak