CognizantがMazeランサムウェアの犠牲になります
大規模組織に対する破壊的なランサムウェア攻撃は常に大きなニュースであり、残念ながら、ますます一般的になっています。たとえば、土曜日には、ITの巨人であるCognizantが、Mazeランサムウェアの犠牲になったことを認めました。
「巨人」という言葉は軽く使われませんでした。 Cognizantは、29万人を超える従業員を擁する大手ITサービスプロバイダーです。さまざまな分野で働く無数の企業に幅広いサービスを提供しています。 Cognizantに対するランサムウェア攻撃は、多くの人々や組織に大きな影響を与える可能性があります。当然、いくつかの質問がポップアップし始めます。
正確に何が起こったのですか?
残念ながら、詳細は不十分です。 4月18日の短い声明 (後でSECの提出書類として公開されました)を除いて、Cognizantからの公式情報はありません。記者発表では、攻撃者が侵入したタイミング、侵入方法、ネットワークへの侵入距離については触れられていません。一部の人々は、しかし、彼らにはアイデアがあるかもしれないと考えています。
Cognizantのプレスリリースの数週間前に、Under the Breach https://twitter.com/underthebreach/status/1251605359409664005という名前のデータ侵害監視サービスが、暗いWebに興味深い広告を発見しました。 「既知の脅威のアクター」が「ITサポートおよびサービス会社」のシステムを危険にさらして、それらへのアクセスを販売していました。ハッカーは、被害者にはいくつかの主要なクライアントがいて、彼の申し出に喜んで彼を連れて行くサイバー犯罪者が非常に機密性の高い大量のデータを手に入れることができると言いました。
ハッカーはCognizantのシステムへのアクセスを販売していましたか?そして、Mazeランサムウェアのギャングは彼からそれを買いましたか?
それはすべて推測の領域にありますが、タイミングは確かに加算されると言わなければなりません。 Under the Breachによれば、4月17日、攻撃が公に明らかにされる24時間前に、広告はオフラインにされました。 Mazeランサムウェアオペレーターが実際にダークウェブからCognizantのシステムへのアクセス権を購入した場合、20万ドルを超える金額を支払いました。ここで次の質問が出てきます。
Mazeランサムウェアオペレーターはどれくらいの利益を上げていますか?
Cognizantのインフラストラクチャのどの程度が影響を受けるかはわからないため、現在の状況から回復することがどれほど困難になるかを述べることは不可能です。おそらく、それは簡単なことではありません。
それでも、コグニザントはフォーチュン500の主要なIT企業であるという事実を踏まえると、多くの人はおそらくそれが堅固なバックアップ戦略を持っていると考えています。これが実際に当てはまる場合、典型的な攻撃では、ランサムウェアのオペレーターは手ぶらのままになり、小さな慰めになる可能性があります。残念ながら、これは典型的な攻撃ではありません。
Mazeランサムウェアは昨年最初に登場し、その巧妙さですぐに悪名を馳せました。それを調べたセキュリティ専門家は、よく書かれたコードと、その作成者が実装したさまざまな検出回避手法に感銘を受けています。これらすべてを踏まえると、Cognizantのような大規模で裕福な組織に対してほぼ独占的に使用されていることは、それほどショックではありません。しかし、ランサムウェアビジネスの他の名前と区別されるのは、Mazeギャングの手口のひねりであり、ほとんどすべての攻撃からかなりの利益を保証しています。
迷路は、機密情報をこすり取り、それを暗号化する前に詐欺師に送信するランサムウェアファミリーの1つです。このため、ハッカーはまず身代金を要求してファイルを復号化することができ、被害者がこれに従わない場合、データが公に漏洩する恐れがあります。
Mazeは、他の何千もの企業や人々とビジネスを行っている大規模な組織を襲い、リークは深刻な結果をもたらす可能性があります。さらに、盗まれたデータは非常に機密性が高いので、暗いウェブ上で支払いに満足する人々が不足することはありません。つまり、身代金の支払いがないことは、結局、それほど大きな問題ではない可能性があります。
これまでのところ、コグニザントから盗んだデータがアンダーグラウンドフォーラムで取引されていることは聞いていませんが、攻撃が最近行われたことを忘れてはならないので、状況が将来どのように展開するかを言うのは時期尚早です。確かなことの1つは、Cognizantが状況の処理に非常に注意する必要があることです。一方で、顧客のデータのセキュリティを保護する必要があります。もう1つは、迷路の詐欺師が目的を達成できないようにするために、できる限りのことをすべきです。残念ながら、犯罪者が作成した設定では、これは思ったより難しいかもしれません。