Cognizant upada ofiarą Maze Ransomware
Niszczycielskie ataki ransomware na duże organizacje to zawsze ważna wiadomość i niestety stają się one coraz bardziej powszechne. Na przykład w sobotę gigant IT Cognizant przyznał, że padł ofiarą oprogramowania ransomware Maze.
Słowo „gigant” nie zostało użyte lekko. Cognizant jest dużym dostawcą usług IT, który zatrudnia ponad 290 tysięcy pracowników. Oferuje szeroki zakres usług dla wielu firm działających w różnych sektorach. Atak ransomware na Cognizant może mieć poważne konsekwencje dla dużej liczby osób i organizacji. Oczywiście pojawiają się pytania.
Co się dokładnie stało?
Niestety szczegóły są nieliczne. Oprócz krótkiego oświadczenia z 18 kwietnia (które zostało później opublikowane jako dokumentacja SEC), nie ma oficjalnych informacji pochodzących od Cognizant. Ogłoszenie prasowe nie mówiło, kiedy włamywacze się włamali, jak to zrobili ani jak daleko w sieci udało im się dostać. Jednak niektórzy uważają, że mogą mieć pomysł.
Kilka tygodni przed komunikatem prasowym Cognizant usługa monitorowania naruszenia bezpieczeństwa o nazwie Under the Breach https://twitter.com/underthebreach/status/1251605359409664005 zauważyła ciekawą reklamę w ciemnej sieci. „Znanemu podmiotowi grożącemu” udało się skompromitować systemy „firmy wsparcia i usług IT” i sprzedawał do nich dostęp. Haker powiedział, że ofiara ma kilku głównych klientów i że cyberprzestępcy gotowi skorzystać z jego oferty mogą zdobyć mnóstwo niezwykle wrażliwych danych.
Czy haker sprzedawał dostęp do systemów Cognizant? I czy gang ransomware Maze odkupił go od niego?
Wszystko to spekuluje, ale trzeba powiedzieć, że czas z pewnością się sumuje. Według Under the Breach, 17 kwietnia, zaledwie 24 godziny przed publicznym ujawnieniem ataku, reklama została wycofana. Jeśli operatorzy oprogramowania ransomware Maze naprawdę kupili dostęp do systemów Cognizant z ciemnej sieci, zapłacili za to ponad 200 tysięcy dolarów. Tu pojawia się kolejne pytanie.
Ile zyskają operatorzy oprogramowania ransomware Maze?
Ponieważ nie wiemy, na ile wpływa to na infrastrukturę Cognizant, nie można powiedzieć, jak trudno będzie wyjść z obecnej sytuacji. Możliwe, że nie będzie łatwo.
Biorąc jednak pod uwagę fakt, że Cognizant jest dużą firmą informatyczną z listy Fortune 500, wielu z was prawdopodobnie uważa, że ma solidną strategię tworzenia kopii zapasowych. Jeśli tak jest w przypadku typowego ataku, operatorzy oprogramowania ransomware pozostaną z pustymi rękami, co może być małą pociechą. Niestety nie jest to typowy atak.
Oprogramowanie ransomware Maze pojawiło się po raz pierwszy w zeszłym roku i natychmiast zyskało niesławę ze względu na swoje wyrafinowanie. Eksperci ds. Bezpieczeństwa, którzy go zbadali, są pod wrażeniem dobrze napisanego kodu i różnorodnych technik unikania wykrywania, które zastosowali jego autorzy. W świetle tego wszystkiego nie powinno być większego szoku, że zastosowano go prawie wyłącznie przeciwko dużym, bogatym organizacjom, takim jak Cognizant. Tym, co odróżnia go od innych nazw w branży oprogramowania ransomware, jest jednak zwrot w sposobie działania gangów Maze, dzięki któremu wszyscy oni gwarantują sobie znaczny zysk z prawie każdego ataku.
Maze jest jedną z rodzin oprogramowania ransomware, które usuwa poufne informacje i wysyła je do oszustów przed ich zaszyfrowaniem. Z tego powodu hakerzy mogą najpierw zażądać okupu w celu odszyfrowania plików, a jeśli ofiara nie zastosuje się do tego, mogą zagrozić ujawnieniem danych publicznie.
Maze uderza w duże organizacje, które prowadzą interesy z tysiącami innych firm i ludzi, a wycieki mogą mieć poważne konsekwencje. Co więcej, ponieważ skradzione dane są tak wrażliwe, nie brakuje osób w ciemnej sieci, którzy chętnie by za nie zapłacili, co oznacza, że brak zapłaty okupu może wcale nie być tak dużym problemem.
Jak dotąd nie słyszeliśmy o danych skradzionych Cognizantowi będących przedmiotem handlu na podziemnych forach, ale nie powinniśmy zapominać, że atak miał miejsce niedawno, więc jest zbyt wcześnie, aby powiedzieć, jak sytuacja może się rozwinąć w przyszłości. Jedno jest pewne, że Cognizant musi bardzo uważać na sytuację. Z jednej strony musi chronić bezpieczeństwo danych swoich klientów. Z drugiej strony powinna zrobić wszystko, co w jej mocy, aby oszuści z Labiryntu nie mieli tego po swojemu. Niestety, przy konfiguracji stworzonej przez przestępców może to być trudniejsze niż się wydaje.
