美大型保险公司CNA传出遭勒索软件Phoenix CryptoLocker攻击

美国大型保险业者CNA近日表示他们于3月21日遭到网络攻击，导致网络中断，影响部分系统运作，传出这起事故疑似是遭到勒索软件攻击。现在消息人士透露更多讯息，包含勒索软件相关的屏幕截图，以及背后发动攻击的骇客组织身份等。根据Bleeping Computer于东部标准时间（EST）3月25日下午2时（台湾时间26日凌晨2时）的报导，有知情人士告诉他们，CNA遭到名为Phoenix CryptoLocker的勒索软件攻击，并公布一张勒索讯息的截图。

这名知情人士指出，骇客在3月21日于CNA的内部网络部署勒索软件，并加密了超过15,000台装置。此外，受害范围还包含透过VPN远端存取公司资源的员工，他们的电脑档案也遭到加密。一旦电脑遭到Phoenix CryptoLocker攻击，被加密的档案副档名会变成.phoenix，该勒索软件也会在电脑里留下勒索讯息的纯文字档案“PHOENIX-HELP.txt”。

不过，从这名人士提供的屏幕截图来看，似乎不像其他勒索软件留下的讯息会提及受害公司的名称，骇客仅提供联系的管道，包含Telegram网址与电子邮件信箱。

至于攻击者的身份为何？其中一个消息来源透露，从勒索软件的程式码来分析，他们研判Phoenix CryptoLocker是出自骇客组织Evil Group。这个骇客组织之前曾使用另一个勒索软件WastedLocker，先后对美国大型企业、台湾GPS大厂Garmin发动攻击，但他们为何要换另一个勒索软件来发动攻击？很有可能与该组织成员自2019年底遭到美国起诉有关。

Bleeping Computer指出，自从Evil Corp遭到起诉后，许多居间于骇客和受害者之间的谈判公司，为了避免遭到美国-处罚，他们不愿碰触WastedLocker有关的谈判案件。而该新闻网站也引用资安公司CrowdStrike的研究指出，Evil Corp很有可能是因为规避上述收不到赎金、甚至面临法律治裁的情况，而开始换用名为Hades的新勒索软件家族，但CrowdStrike分析后发现，这其实只是WastedLocker更名版本的勒索软件。

因此，消息来源的人士认为，Phoenix CryptoLocker很有可能是Evil Corp使用的另一个勒索软件。

不过，当Bleeping Comupter向CNA确认是否就是遭到Evil corp攻击时，CNA认为使用Phoenix CryptoLocker的骇客组织是“Phoenix”，但他们还无法确定是否与Evil Corp有关。不过，这也形同CNA间接承认遭到勒索软件攻击，以及发起攻击的骇客组织名为Phoenix。