Cognizant cae víctima del ransomware Maze
Los ataques destructivos de ransomware contra grandes organizaciones son siempre una gran noticia y, desafortunadamente, se están volviendo cada vez más comunes. El sábado, por ejemplo, el gigante de TI Cognizant admitió que había sido víctima del ransomware Maze.
La palabra "gigante" no se usó a la ligera. Cognizant es un importante proveedor de servicios de TI con más de 290 mil empleados. Ofrece una amplia gama de servicios a una gran cantidad de empresas que trabajan en diferentes sectores. El ataque de ransomware en Cognizant podría tener consecuencias importantes para un gran número de personas y organizaciones. Naturalmente, algunas preguntas comienzan a aparecer.
¿Qué pasó exactamente?
Lamentablemente, los detalles son escasos. Aparte de una breve declaración del 18 de abril (que luego se publicó como una presentación ante la SEC), no hay información oficial proveniente de Cognizant. El anuncio de la prensa no dijo cuándo entraron los atacantes, cómo lo hicieron o qué tan lejos llegaron a la red. Sin embargo, algunas personas creen que podrían tener una idea.
Un par de semanas antes del comunicado de prensa de Cognizant, un servicio de monitoreo de violación de datos llamado Under the Breach https://twitter.com/underthebreach/status/1251605359409664005 detectó un anuncio interesante en la web oscura. Un "actor conocido de amenazas" había logrado comprometer los sistemas de una "compañía de servicios y soporte de TI" y estaba vendiendo acceso a ellos. El pirata informático dijo que la víctima tenía algunos clientes importantes y que los cibercriminales dispuestos a aceptar su oferta pueden obtener toneladas de datos extremadamente confidenciales.
¿Estaba el hacker vendiendo acceso a los sistemas de Cognizant? ¿Y la pandilla de ransomware Maze se lo compró?
Todo está en el ámbito de la especulación, pero hay que decir que el tiempo ciertamente se suma. Según Under the Breach, el 17 de abril, solo 24 horas antes de que se divulgara públicamente el ataque, el anuncio fue desconectado. Si los operadores de ransomware Maze realmente compraron el acceso a los sistemas de Cognizant desde la web oscura, pagaron más de $ 200 mil por ello. Aquí es donde entra la siguiente pregunta.
¿Cuánto ganan los operadores de ransomware Maze?
Como no sabemos cuánto se ve afectada la infraestructura de Cognizant, es imposible decir cuán difícil será recuperarse de la situación actual. Lo más probable es que no va a ser fácil.
Aún así, dado que Cognizant es una importante compañía de TI de Fortune 500, muchos de ustedes probablemente reconocen que tiene una estrategia de respaldo sólida. Si este es el caso, en un ataque típico, los operadores de ransomware se quedarán con las manos vacías, lo que puede ser un pequeño consuelo. Desafortunadamente, este no es un ataque típico.
El ransomware Maze apareció por primera vez el año pasado, e inmediatamente ganó infamia por su sofisticación. Los expertos en seguridad que lo han examinado están impresionados con el código bien escrito y la variedad de técnicas de evasión de detección que sus autores han implementado. A la luz de todo esto, no debería sorprender que se haya utilizado casi exclusivamente contra organizaciones grandes y ricas como Cognizant. Sin embargo, lo que lo distingue de los otros nombres en el negocio del ransomware es el giro en el modus operandi de la pandilla Maze con el que todos se garantizan una ganancia significativa de casi todos los ataques.
Maze es una de las familias de ransomware que raspa información confidencial y la envía a los delincuentes antes de encriptarla. Debido a esto, los piratas informáticos pueden solicitar primero un rescate para descifrar los archivos, y si la víctima no cumple, pueden amenazar con filtrar los datos públicamente.
Maze afecta a grandes organizaciones que hacen negocios con miles de otras compañías y personas, y las filtraciones pueden tener serias consecuencias. Además, debido a que los datos robados son tan confidenciales, no hay escasez de personas en la web oscura que estarían más que felices de pagar, lo que significa que la falta de un pago de rescate podría no ser un problema tan grande después de todo.
Hasta ahora, no hemos oído hablar de datos robados de Cognizant que se comercializan en los foros clandestinos, pero no debemos olvidar que el ataque tuvo lugar recientemente, por lo que es demasiado pronto para decir cómo podría desarrollarse la situación en el futuro. Una cosa que es segura es que Cognizant debe tener mucho cuidado con el manejo de la situación. Por un lado, debe proteger la seguridad de los datos de sus clientes. Por otro lado, debe hacer todo lo posible para asegurarse de que los ladrones del laberinto no terminen a su manera. Desafortunadamente, con la configuración que los delincuentes han creado, esto podría ser más difícil de lo que parece.
