Cognizant blir offer for Maze ransomware
Destruktive ransomware-angrep mot store organisasjoner er alltid store nyheter, og dessverre blir de mer og mer vanlige. Lørdag innrømmet for eksempel IT-giganten Cognizant at den hadde falt offer for ransomvaren til Maze.
Ordet "kjempe" ble ikke brukt lett. Cognizant er en stor leverandør av IT-tjenester med en skygge på over 290 tusen ansatte. Det tilbyr et bredt spekter av tjenester til et utall selskaper som jobber i forskjellige sektorer. Ransomware-angrepet på Cognizant kan ha store konsekvenser for et stort antall mennesker og organisasjoner. Naturligvis begynner noen spørsmål å dukke opp.
Hva skjedde nøyaktig?
Dessverre er detaljene knappe. Bortsett fra en kort uttalelse fra 18. april (som senere ble publisert som SEC-innlevering), kommer det ingen offisiell informasjon fra Cognizant. Pressemeldingen sa ikke når angriperne brøt inn, hvordan de gjorde det eller hvor langt inn i nettverket de klarte å komme seg. Noen mennesker regner med at de kanskje har en idé.
Et par uker før Cognizants pressemelding oppdaget en overvåkningstjeneste for data med navnet Under the Breach https://twitter.com/underthebreach/status/1251605359409664005 en interessant annonse på det mørke nettet. En "kjent trusselaktør" hadde klart å kompromittere systemene til et "IT-support- og serviceselskap" og solgte tilgang til dem. Hackeren sa at offeret hadde noen store kunder, og at nettkriminelle som er villige til å ta ham opp på tilbudet sitt, kan få tak i mange ekstremt sensitive data.
Selg hackeren tilgang til Cognizants systemer? Og kjøpte Maze ransomware gjengen den av ham?
Det hele er i spekulasjonsområdet, men det må sies at timingen absolutt legger opp. I følge Under the Breach ble annonsen 17. april, bare 24 timer før angrepet offentliggjort, trukket frakoblet. Hvis Maze-ransomware-operatørene virkelig kjøpte tilgang til Cognizants systemer fra det mørke nettet, betalte de i overkant av 200 000 dollar for det. Det er her neste spørsmål kommer inn.
Hvor mye har Maze ransomware-operatørene å tjene?
Siden vi ikke vet hvor mye av Cognizants infrastruktur som påvirkes, er det umulig å si hvor vanskelig det vil være å komme seg fra dagens situasjon. Sjansen er stor, det kommer ikke til å være lett.
Likevel, med tanke på det faktum at Cognizant er et stort IT-selskap som Fortune 500, regner antagelig mange av dere med at de har en solid backup-strategi. Hvis dette virkelig er tilfelle, i et typisk angrep, vil ransomware-operatørene bli stående tomhendt, noe som kan være en liten trøst. Dessverre er dette ikke et typisk angrep.
The Maze ransomware dukket først opp i fjor, og den fikk umiddelbart beryktelse for sin sofistikering. Sikkerhetseksperter som har undersøkt den, er imponert over den velskrevne koden og de forskjellige teknikker for deteksjonsunddragelse som forfatterne har implementert. I lys av alt dette, bør det ikke være for mye av et sjokk at det nesten bare er brukt mot store, rike organisasjoner som Cognizant. Det som skiller det fra de andre navnene i ransomware-virksomheten, er imidlertid vrien i Maze-gjengens modus operandi som de alle, men garanterer seg et betydelig overskudd fra nesten hvert angrep.
Maze er en av ransomware-familiene som skraper sensitiv informasjon og sender den til kjeltringene før de krypterer den. På grunn av dette kan hackerne først be om løsepenger for å dekryptere filene, og hvis offeret ikke følger det, kan de true med å lekke dataene offentlig.
Maze treffer store organisasjoner som driver med tusenvis av andre selskaper og mennesker, og lekkasjer kan få alvorlige konsekvenser. Fordi de stjålne dataene er så følsomme, mangler det dessuten ingen mennesker på det mørke nettet som mer enn gjerne vil betale for det, noe som betyr at mangelen på løsepenger ikke tross alt er et så stort problem.
Så langt har vi ikke hørt om data stjålet fra Cognizant som ble handlet på de underjordiske fora, men vi skal ikke glemme at angrepet skjedde nylig, så det er for tidlig å si hvordan situasjonen kan utfolde seg i fremtiden. En ting som er sikkert er at Cognizant må være veldig forsiktig med håndteringen av situasjonen. På den ene siden må den beskytte sikkerheten til kundenes data. På den annen side skal den gjøre alt for å sikre at Maze-skurkene ikke ender opp med å ha det slik. Dessverre, med det oppsettet de kriminelle har laget, kan dette være vanskeligere enn det høres ut.
