Según un informe de Bloomberg, CNA Financial, una de las mayores aseguradoras de Estados Unidos, pagó 40 millones de dólares para recuperarse de un ataque de ransomware en Marzo.
Dos personas familiarizadas con el ataque que hablaron con Bloomberg, y a su vez pidieron no ser identificadas porque no estaban autorizadas a abordar el asunto públicamente. La empresa con sede en Chicago pagó a los hackers unas dos semanas después de que se robara un alijo de datos de la empresa y de que los funcionarios de CNA quedaran bloqueados en su red.
Inicialmente, la organización rechazó las peticiones de los hackers, centrándose en su lugar en la forma de recuperar sus archivos sin tener que lidiar con los autores. Sin embargo, la empresa aceptó iniciar conversaciones con los hackers luego de una semana cuando los hackers les comunicaron que exigían 60 millones de dólares por liberar los servicios.
En un comunicado, un portavoz de CNA dijo que la firma de seguros no hará comentarios sobre el rescate, añadiendo que CNA "siguió todas las leyes, regulaciones y guías publicadas" mientras manejaba el ciberataque. El número de ataques y la cuantía de los rescates solicitados demuestran lo extendidos que se han vuelto los ataques de ransomware en los últimos años.
La empresa fue víctima de Phoenix Locker, una rama del ransomware Hades creado por la organización rusa de hackers Evil Corp. El ransomware es un tipo de malware que cifra los datos de sus víctimas. Los ciberdelincuentes que utilizan el ransomware suelen robar también los datos de la empresa. De esta forma, exigen entonces un pago para abrir los archivos y se comprometen a no divulgar la información robada.
Nota creada por el Ransomware que afectó la CNA Financial (Fuente: Bleeping Computer)
Según los expertos en ciberseguridad, en los últimos años los hackers se dirigen a víctimas que contratan seguros contra ciberataques y que manejan grandes cantidades de datos confidenciales de clientes, lo que les hace más propensos a pagar un rescate.
Frente a esta situación varios expertos han llamado a hacer ilegal el pago de recompensas a hacker para liberarse de los ataques. Sin embargo, Jen Ellis, ejecutivo de la empresa de ciberseguridad Rapid7 y otro miembro del grupo de trabajo, se mostró en contra de las prohibiciones:
“Prohibir los pagos daría lugar, casi con toda seguridad, a un horrible juego de ‘gallinas’, en el que los delincuentes se centrarían en las organizaciones con menos probabilidades de poder hacer frente al tiempo de inactividad, por ejemplo, hospitales, plantas de tratamiento de agua, proveedores de energía y escuelas", dijo. "Los piratas informáticos pueden esperar que el daño causado a la sociedad por este tiempo de inactividad ejerza la presión necesaria para asegurarse de que les paguen. Tienen muy poco que perder al hacer esto - y potencialmente un gran día de pago para ganar".