Cyberthreat.id – Perusahaan asuransi terkemuka asal Amerika Serikat, CNA Financial, menjadi korban serangan siber ransomware varian baru bernama “Phoenix CryptoLocker”.

Insiden siber, yang ditemukan pertama kali pada 21 Maret lalu, berdampak pada gangguan jaringan, temasuk mempengaruhi sistem perangkat lunak email perusahaan.

Dalam pernyataan tertulisnya di situs webnya, CNA mengatakan, telah memutuskan sistem komputernya selama sepekan terakhir.

Di hari awal-awal serangan, situs web mereka menampilkan pemberitahuan, "saat ini mengalami gangguan jaringan yang memengaruhi beberapa sistem kami. Kami sedang berupaya mengatasi masalah ini untuk meminimalkan gangguan pada Anda".

CNA mengklaim tengah menyelidiki insiden tersebut bersama tim ahli forensik pihak ketiga. Perusahaan juga telah memberitahu penegak hukum atas insiden siber yang dihadapinya dan akan bekerja sama untuk penyelidikan.

Sumber anonim BleepingComputer, diakses pada Minggu (28 Maret 2021), berpendapat kemungkinan besar insiden itu akibat ransomware. Sumber tersebut juga mengatakan, ransomware telah mengenkripsi lebih dari 15.000 perangkat di jaringan CNA.

Saat mengenkripsi perangkat, ransomware menambahkan ekstensi .phoenix ke file yang dienkripsi dan membuat catatan tebusan bernama PHOENIX-HELP.txt.

Evil Corp

Sumber lain juga mengatakan bahwa Phoenix Locker diduga kuat keluarga ransomware baru yang dirilis oleh Evil Corp berdasarkan kesamaan kodenya.

Evil Corp dalam sejarahnya dikenal menggunakan ransomware “WastedLocker” dalam operasi kriminalnya

Menurut laporan perusahaan keamanan siber, CrowdStrike, baru-baru ini, grup peretasan Evil Corp beralih ke keluarga ransomware baru yang disebut “Hades”.

Namun, analisis CrowdStrike menunjukkan bahwa “Hades” hanyalah versi ransomware “WastedLocker” yang digunakan sebelumnya.

Sementara, ransomware “Phoenix Locker” yang digunakan dalam serangan CNA diduga kuat sebagai spin-off dari Evil Corp.

Meski sejauh ini belum ada bukti yang menunjukkan bahwa serangan siber itu mempengaruhi data pelanggan, CNA menyatakan, akan memberitahu pemilik data jika data pelanggan terdampak atas insiden tersebut.

Menurut Insurance Information Institute, CNA merupakan perusahaan asuransi komersial terbesar keenam di AS dan menawarkan berbagai macam produk asuransi, termasuk polis asuransi siber.

Serangan yang berbahaya

Menurut BleepingComputer, serangan terhadap CNA sangat berbahaya karena memungkinkan peretas ransomware membuat daftar target ke depan berbekal data polis asuransi siber yang dimiliki CNA.

Pasalnya, tidak jarang perusahaan asuransi membayar uang tebusan korban diasuransikan. Karena itu, berbekal data yang dicurinya dari perusahaan asuransi siber, peretas ransomware jadi tahu siapa target yang sekiranya jika ditargetkan akan membayarnya.

Sebelumnya, operator ransomware REvil mengatakan, dalam wawancara bersama The Record, perusahaan asuransi ialah target berharga karena potensial yang lebih mungkin membayar uang tebusan.

"Ini salah satu potongan terlezat. Terutama untuk meretas perusahaan asuransi terlebih dahulu, untuk mendapatkan basis pelanggan mereka dan bekerja dengan cara yang ditargetkan dari sana. Dan setelah Anda memeriksa daftarnya, kemudian tekan perusahaan asuransi itu sendiri," tutur REvil.

Tak hanya itu, menurut SCMagazine, data yang dicuri juga berpotensi disalahgunakan oleh peretas untuk menipu para pemegang polis. Jika pelaku mendapatkan data asuransi atau polis yang mengandung penjaminan tertentu hal itu "mungkin membantu penyerang menyempurnakan ancaman mereka."[]

Redaktur: Andi Nugroho