Cognizant est victime du rançongiciel Maze
Les attaques de rançongiciels destructeurs contre les grandes organisations sont toujours de grandes nouvelles, et malheureusement, elles sont de plus en plus courantes. Samedi, par exemple, le géant informatique Cognizant a reconnu avoir été victime du rançongiciel Maze.
Le mot "géant" n'a pas été utilisé à la légère. Cognizant est un important fournisseur de services informatiques avec plus de 290 000 employés. Il offre une large gamme de services à une myriade d'entreprises travaillant dans différents secteurs. L'attaque par rançongiciel contre Cognizant pourrait avoir des conséquences majeures pour un grand nombre de personnes et d'organisations. Naturellement, certaines questions commencent à apparaître.
Que s'est-il passé exactement?
Malheureusement, les détails sont rares. Hormis une courte déclaration du 18 avril (qui a ensuite été publiée en tant que dossier SEC), aucune information officielle ne vient de Cognizant. L'annonce à la presse n'a pas précisé quand les assaillants ont fait irruption, comment ils l'ont fait, ni jusqu'où ils ont réussi à pénétrer dans le réseau. Certaines personnes estiment cependant avoir une idée.
Quelques semaines avant le communiqué de presse de Cognizant, un service de surveillance des violations de données du nom de Under the Breach https://twitter.com/underthebreach/status/1251605359409664005 a repéré une annonce intéressante sur le dark web. Un "acteur de menace connu" avait réussi à compromettre les systèmes d'une "société de support et de services informatiques" et leur en vendait l'accès. Le pirate informatique a déclaré que la victime avait des clients importants et que les cybercriminels désireux de l'accepter peuvent mettre la main sur des tonnes de données extrêmement sensibles.
Le pirate vendait-il l'accès aux systèmes de Cognizant? Et le gang de rançongiciels Maze l'a-t-il acheté?
Tout est dans le domaine de la spéculation, mais il faut dire que le timing s'additionne certainement. Selon Under the Breach, le 17 avril, à peine 24 heures avant que l'attaque ne soit rendue publique, l'annonce a été retirée. Si les opérateurs de rançongiciels Maze ont vraiment acheté l'accès aux systèmes de Cognizant sur le dark web, ils ont payé plus de 200 000 $ pour cela. C'est là qu'intervient la question suivante.
Combien les opérateurs de rançongiciels Maze ont-ils à gagner?
Étant donné que nous ne savons pas dans quelle mesure l'infrastructure de Cognizant est affectée, il est impossible de dire à quel point il sera difficile de se remettre de la situation actuelle. Il y a de fortes chances que ce ne soit pas facile.
Néanmoins, étant donné que Cognizant est une grande entreprise informatique du Fortune 500, beaucoup d'entre vous estiment probablement qu'elle a une solide stratégie de sauvegarde. Si c'est effectivement le cas, dans une attaque typique, les opérateurs de ransomware seront laissés les mains vides, ce qui peut être une petite consolation. Malheureusement, ce n'est pas une attaque typique.
Le rançongiciel Maze est apparu pour la première fois l'année dernière, et il a immédiatement gagné en infamie pour sa sophistication. Les experts en sécurité qui l'ont examiné sont impressionnés par le code bien écrit et la variété des techniques d'évasion de détection que ses auteurs ont mises en œuvre. À la lumière de tout cela, il ne devrait pas être trop choquant qu'il soit utilisé presque exclusivement contre de grandes organisations riches comme Cognizant. Ce qui le distingue des autres noms du secteur des ransomwares, cependant, est la torsion du mode opératoire du gang Maze avec lequel ils se garantissent presque tous un profit significatif de presque toutes les attaques.
Maze est l'une des familles de ransomwares qui élimine les informations sensibles et les envoie aux escrocs avant de les crypter. Pour cette raison, les pirates peuvent d'abord demander une rançon pour décrypter les fichiers, et si la victime ne se conforme pas, ils peuvent menacer de divulguer les données publiquement.
Maze frappe de grandes organisations qui font des affaires avec des milliers d'autres sociétés et personnes, et les fuites peuvent avoir de graves conséquences. De plus, parce que les données volées sont si sensibles, il n'y a pas de pénurie de personnes sur le dark web qui seraient plus qu'heureuses de payer pour cela, ce qui signifie que l'absence de paiement d'une rançon pourrait ne pas être un si gros problème après tout.
Jusqu'à présent, nous n'avons pas entendu parler de données volées à Cognizant échangées sur les forums clandestins, mais nous ne devons pas oublier que l'attaque a eu lieu récemment, il est donc trop tôt pour dire comment la situation pourrait se dérouler à l'avenir. Une chose est certaine, c'est que Cognizant doit être très prudent dans la gestion de la situation. D'une part, il doit protéger la sécurité des données de ses clients. De l'autre, il devrait faire tout ce qui est en son pouvoir pour que les escrocs du labyrinthe ne finissent pas par se débrouiller. Malheureusement, avec la configuration créée par les criminels, cela pourrait être plus difficile qu'il n'y paraît.
