Cognizant wordt het slachtoffer van de Maze-ransomware
Destructieve ransomware-aanvallen op grote organisaties zijn altijd groot nieuws, en helaas komen ze steeds vaker voor. Zo gaf IT-gigant Cognizant op zaterdag toe dat het slachtoffer was geworden van de Maze-ransomware.
Het woord "reus" werd niet lichtvaardig gebruikt. Cognizant is een grote IT-dienstverlener met meer dan 290 duizend werknemers. Het biedt een breed scala aan diensten aan een groot aantal bedrijven in verschillende sectoren. De ransomware-aanval op Cognizant kan grote gevolgen hebben voor een groot aantal mensen en organisaties. Natuurlijk beginnen er enkele vragen op te duiken.
Wat is er precies gebeurd?
De details zijn helaas schaars. Afgezien van een korte verklaring van 18 april (die later werd gepubliceerd als een SEC-aanvraag), is er geen officiële informatie afkomstig van Cognizant. De persaankondiging vermeldde niet wanneer de aanvallers inbraken, hoe ze het deden of hoe ver ze het netwerk wisten te bereiken. Sommige mensen denken echter dat ze misschien een idee hebben.
Een paar weken voor het persbericht van Cognizant zag een dienst voor het monitoren van gegevenslekken met de naam Under the Breach https://twitter.com/underthebreach/status/1251605359409664005 een interessante advertentie op het dark web. Een "bekende bedreigingsactor" was erin geslaagd de systemen van een "IT-ondersteunings- en servicebedrijf" in gevaar te brengen en verkocht er toegang toe. De hacker zei dat het slachtoffer een aantal grote klanten had en dat cybercriminelen die hem op zijn aanbod wilden volgen, tonnen uiterst gevoelige gegevens in handen konden krijgen.
Verkocht de hacker toegang tot de systemen van Cognizant? En heeft de Maze ransomware-bende het van hem gekocht?
Het gaat allemaal om speculatie, maar het moet gezegd worden dat de timing zeker oploopt. Volgens Under the Breach werd de advertentie op 17 april, slechts 24 uur voordat de aanval openbaar werd gemaakt, offline gehaald. Als de Maze ransomware-operators daadwerkelijk toegang tot de systemen van Cognizant kochten via het dark web, betaalden ze er meer dan $ 200 duizend voor. Dit is waar de volgende vraag binnenkomt.
Hoeveel kunnen de Maze ransomware-operators winnen?
Aangezien we niet weten hoeveel van de infrastructuur van Cognizant wordt beïnvloed, is het onmogelijk te zeggen hoe moeilijk het zal zijn om te herstellen van de huidige situatie. De kans is groot dat het niet gemakkelijk zal zijn.
Maar gezien het feit dat Cognizant een groot Fortune 500 IT-bedrijf is, denken velen van u waarschijnlijk dat het een solide back-upstrategie heeft. Als dit inderdaad het geval is, zullen de ransomware-operators bij een typische aanval met lege handen staan, wat een kleine troost kan zijn. Helaas is dit geen typische aanval.
De Maze-ransomware verscheen vorig jaar voor het eerst en kreeg onmiddellijk schande vanwege zijn verfijning. Beveiligingsexperts die het hebben onderzocht, zijn onder de indruk van de goed geschreven code en de verscheidenheid aan technieken voor detectie-ontwijking die de auteurs ervan hebben geïmplementeerd. In het licht van dit alles zou het niet zo'n grote schok moeten zijn dat het bijna uitsluitend is gebruikt tegen grote, rijke organisaties zoals Cognizant. Wat het echter onderscheidt van de andere namen in de ransomware-branche, is de wending in de modus operandi van de Maze-bende waarmee ze zich vrijwel elke winst van bijna elke aanval garanderen.
Maze is een van de ransomwarefamilies die gevoelige informatie schraapt en naar de boeven stuurt voordat deze wordt versleuteld. Hierdoor kunnen de hackers eerst een losgeld aanvragen om de bestanden te decoderen, en als het slachtoffer zich hier niet aan houdt, kunnen ze dreigen de gegevens openbaar te lekken.
Maze treft grote organisaties die zaken doen met duizenden andere bedrijven en mensen, en lekken kunnen ernstige gevolgen hebben. Bovendien, omdat de gestolen gegevens zo gevoelig zijn, is er geen tekort aan mensen op het dark web die er graag voor willen betalen, wat betekent dat het ontbreken van een losgeldbetaling toch niet zo'n groot probleem is.
Tot nu toe hebben we nog nooit gehoord van gegevens die zijn gestolen van Cognizant die worden verhandeld op de ondergrondse forums, maar we mogen niet vergeten dat de aanval onlangs heeft plaatsgevonden, dus het is te vroeg om te zeggen hoe de situatie zich in de toekomst zou kunnen ontvouwen. Een ding is zeker: Cognizant moet heel voorzichtig zijn met de omgang met de situatie. Enerzijds moet het de beveiliging van de gegevens van zijn klanten beschermen. Aan de andere kant moet het er alles aan doen om ervoor te zorgen dat de Maze-boeven het niet op hun manier krijgen. Helaas, met de opzet die de criminelen hebben gecreëerd, is dit misschien moeilijker dan het klinkt.
