Cognizant cade vittima del ransomware Maze
Gli attacchi ransomware distruttivi contro le grandi organizzazioni sono sempre una grande novità e, sfortunatamente, stanno diventando sempre più comuni. Sabato, ad esempio, il gigante IT Cognizant ha ammesso di essere stato vittima del ransomware Maze.
La parola "gigante" non è stata usata alla leggera. Cognizant è un importante fornitore di servizi IT con un'ombra di oltre 290 mila dipendenti. Offre una vasta gamma di servizi a una miriade di aziende che lavorano in diversi settori. L'attacco di ransomware a Cognizant potrebbe avere conseguenze importanti per un gran numero di persone e organizzazioni. Naturalmente, alcune domande iniziano a spuntare.
Che cosa è successo esattamente?
Sfortunatamente, i dettagli sono scarsi. A parte una breve dichiarazione del 18 aprile (che è stata successivamente pubblicata come deposito della SEC), non ci sono informazioni ufficiali provenienti da Cognizant. L'annuncio della stampa non diceva quando gli aggressori hanno fatto irruzione, come hanno fatto o quanto sono riusciti a raggiungere la rete. Alcune persone pensano che potrebbero avere un'idea, però.
Un paio di settimane prima del comunicato stampa di Cognizant, un servizio di monitoraggio della violazione dei dati con il nome di Under the Breach https://twitter.com/underthebreach/status/1251605359409664005 ha individuato un interessante annuncio sul web oscuro. Un "noto attore di minacce" era riuscito a compromettere i sistemi di una "società di supporto e assistenza IT" e stava vendendo l'accesso ad essi. L'hacker ha affermato che la vittima aveva alcuni importanti clienti e che i criminali informatici disposti ad accettarlo per la sua offerta possono mettere le mani su tonnellate di dati estremamente sensibili.
L'hacker stava vendendo l'accesso ai sistemi di Cognizant? E la banda del ransomware Maze l'ha comprato?
È tutto nel regno della speculazione, ma bisogna dire che i tempi certamente si sommano. Secondo Under the Breach, il 17 aprile, appena 24 ore prima che l'attacco venisse divulgato pubblicamente, la pubblicità veniva messa offline. Se gli operatori del ransomware Maze hanno effettivamente acquistato l'accesso ai sistemi di Cognizant dalla rete oscura, hanno pagato oltre $ 200 mila per questo. È qui che arriva la domanda successiva.
Quanto guadagnano gli operatori del ransomware Maze?
Poiché non sappiamo quanta parte dell'infrastruttura di Cognizant è interessata, è impossibile dire quanto sarà difficile recuperare dalla situazione attuale. Le probabilità sono che non sarà facile.
Tuttavia, dato che Cognizant è una delle principali società IT di Fortune 500, molti di voi probabilmente credono che abbia una solida strategia di backup. Se questo è davvero il caso, in un tipico attacco, gli operatori di ransomware rimarranno a mani vuote, il che può essere una piccola consolazione. Sfortunatamente, questo non è un tipico attacco.
Il Maze ransomware è apparso per la prima volta l'anno scorso e ha immediatamente guadagnato l'infamia per la sua raffinatezza. Gli esperti di sicurezza che lo hanno esaminato sono colpiti dal codice ben scritto e dalla varietà di tecniche di evasione del rilevamento implementate dai suoi autori. Alla luce di tutto ciò, non dovrebbe essere troppo scioccante che sia stato usato quasi esclusivamente contro organizzazioni grandi e ricche come Cognizant. Ciò che lo distingue dagli altri nomi nel settore dei ransomware, tuttavia, è la svolta nel modus operandi della banda del labirinto con cui tutti, ma si garantiscono un profitto significativo da quasi ogni attacco.
Maze è una delle famiglie di ransomware che raschia informazioni sensibili e le invia ai criminali prima di crittografarle. Per questo motivo, gli hacker possono prima richiedere un riscatto per decrittografare i file e, se la vittima non rispetta, possono minacciare di divulgare pubblicamente i dati.
Maze colpisce grandi organizzazioni che intrattengono rapporti commerciali con migliaia di altre società e persone e le perdite possono avere conseguenze gravi. Inoltre, poiché i dati rubati sono così sensibili, non c'è carenza di persone sul web oscuro che sarebbero più che felici di pagarli, il che significa che la mancanza di un riscatto potrebbe non essere un problema così grande dopo tutto.
Finora non abbiamo sentito parlare di dati rubati da Cognizant sui forum sotterranei, ma non dovremmo dimenticare che l'attacco è avvenuto di recente, quindi è troppo presto per dire come la situazione potrebbe svolgersi in futuro. Una cosa certa è che Cognizant deve stare molto attento a gestire la situazione. Da un lato, deve proteggere la sicurezza dei dati dei suoi clienti. Dall'altro, dovrebbe fare tutto il possibile per garantire che i truffatori del labirinto non finiscano per farlo a modo loro. Sfortunatamente, con la configurazione creata dai criminali, questo potrebbe essere più difficile di quanto sembri.
