A Cognizant a Maze ransomware áldozatává válik
A nagy szervezetekkel szembeni pusztító ransomware támadások mindig nagy hírek, és sajnos egyre gyakoribbak. Például szombaton, a Cognizant informatikai óriás elismerte, hogy a labirintus megsértése miatt áldozatul esett.
Az "óriás" szót nem használták könnyedén. A Cognizant jelentős informatikai szolgáltató, 290 ezer alkalmazottat foglalkoztat. Széles körű szolgáltatást kínál számos, különböző ágazatokban dolgozó vállalat számára. A Cognizant elleni ransomware támadás sok ember és szervezet számára komoly következményekkel járhat. Természetesen néhány kérdés felbukkan.
Mi történt pontosan?
Sajnos a részletek hiányosak. Eltekintve egy rövid április 18-i nyilatkozattól (amelyet később SEC-i nyilvántartásként tettek közzé), nincs hivatalos információ a Cognizant-tól. A sajtóközlemény nem mondta, amikor a támadók betörtek, hogyan csinálták, vagy milyen messzire jutottak be a hálózatba. Néhányan úgy gondolják, hogy van valami ötlete.
Néhány héttel a Cognizant sajtóközleménye előtt az Adatbitorlás név alatt megfigyelő szolgálat, a https://twitter.com/underthebreach/status/1251605359409664005, érdekes hirdetést tett a sötét webben. Egy "ismert fenyegető szereplőnek" sikerült veszélyeztetnie egy "informatikai támogató és szolgáltató vállalat" rendszereit, és hozzáférést adott hozzájuk. A hacker azt mondta, hogy az áldozatnak volt néhány nagyobb ügyfele, és hogy az internetes bűnözők, akik hajlandók felvenni őt ajánlatára, rengeteg rendkívül érzékeny adatot kaphatnak a kezükbe.
A hacker hozzáférést adott a Cognizant rendszerekhez? És a Maze ransomware banda megvette tőle?
Mindez a spekuláció birodalmában, de el kell mondani, hogy az időzítés bizonyosan növeli. Az Under the Breach szerint április 17-én, csak 24 órával a támadás nyilvánosságra hozatala előtt a hirdetést elérhetővé tették. Ha a Maze ransomware operátorok valóban megvásárolták a hozzáférést a Cognizant rendszerekhez a sötét webből, akkor több mint 200 ezer dollárt fizettek érte. Itt jön fel a következő kérdés.
Mennyit nyerhetnek a Maze ransomware operátorok?
Mivel nem tudjuk, hogy a Cognizant infrastruktúrájának mekkora része van hatással, lehetetlen megmondani, milyen nehéz lesz helyreállni a jelenlegi helyzetből. Lehet, hogy nem lesz könnyű.
Mégis, tekintettel arra a tényre, hogy a Cognizant nagy Fortune 500 informatikai cég, valószínűleg sokan közlik, hogy szilárd biztonsági mentési stratégiájával rendelkezik. Ha ez valóban így van, akkor egy tipikus támadás esetén a ransomware operátorokat üres kézzel hagyják, ami kicsit vigasztalás lehet. Sajnos ez nem tipikus támadás.
A Maze ransomware először tavaly jelent meg, és kifinomultsága miatt azonnal hírhedt lett. A biztonsági szakértők, akik ezt megvizsgálták, lenyűgöznek a jól megírt kóddal és a sokféle észlelési kijátszási technikával, amelyeket a szerzők alkalmaztak. Mindezek fényében nem szabad túl sokknak lennie, hogy szinte kizárólag olyan nagy, gazdag szervezetekkel szemben használták, mint például a Cognizant. Ami a ransomware üzlet többi nevét különbözteti meg, az a Maze banda modus operandi-jainak csavarása, amellyel szinte minden támadás ellenére jelentõs profitot garantálnak maguknak.
A labirintus egyike a ransomware családoknak, amelyek az érzékeny információkat lekaparják és titkosításuk előtt elküldik a csalóknak. Emiatt a hackerek először váltságdíjat kérhetnek a fájlok visszafejtéséhez, és ha az áldozat nem tesz eleget, akkor azzal fenyegethetnek, hogy az adatokat nyilvánosan kiszivárogtatják.
A labirintus olyan nagy szervezeteket ér el, amelyek több ezer más vállalattal és emberrel folytatnak üzletet, és a szivárgásoknak súlyos következményei lehetnek. Továbbá, mivel a lopott adatok annyira érzékenyek, a sötét interneten nem hiányzik olyan ember, aki szívesen fizetne érte, ami azt jelenti, hogy a váltságdíj kifizetésének hiánya valószínűleg nem olyan nagy probléma.
Eddig nem hallottunk arról, hogy a Cognizant ellopták a föld alatti fórumokon folytatott kereskedelmet, de nem szabad elfelejtenünk, hogy a támadást nemrégiben hajtották végre, így túl korai lenne elmondani, hogy a helyzet miként alakulhat ki a jövőben. Az egyik biztos, hogy a Cognizantnak nagyon óvatosan kell kezelnie a helyzetet. Egyrészt védenie kell az ügyfelek adatainak biztonságát. Másrészt mindent meg kell tennie annak biztosítása érdekében, hogy a labirintus gólyák ne érjék el magukat. Sajnos a bűnözők által készített beállításokkal ez sokkal nehezebb lehet, mint amilyennek hangzik.