Cognizant cai vítima do Maze Ransomware
Os ataques destrutivos de ransomware contra grandes organizações são sempre grandes notícias e, infelizmente, estão se tornando cada vez mais comuns. No sábado, por exemplo, a gigante de TI Cognizant admitiu que havia sido vítima do ransomware Maze.
A palavra "gigante" não foi usada de ânimo leve. A Cognizant é uma importante provedora de serviços de TI, com mais de 290 mil funcionários. Oferece uma ampla gama de serviços a inúmeras empresas que trabalham em diferentes setores. O ataque de ransomware ao Cognizant pode ter grandes consequências para um grande número de pessoas e organizações. Naturalmente, algumas perguntas começam a aparecer.
O que aconteceu exatamente?
Infelizmente, os detalhes são escassos. Além de uma breve declaração de 18 de abril (que mais tarde foi publicada como um arquivo da SEC), não há informações oficiais vindas da Cognizant. O comunicado à imprensa não dizia quando os invasores invadiram, como eles fizeram isso ou a que distância da rede eles conseguiram chegar. Algumas pessoas acham que podem ter uma idéia, no entanto.
Algumas semanas antes do comunicado de imprensa da Cognizant, um serviço de monitoramento de violação de dados com o nome Under the Breach https://twitter.com/underthebreach/status/1251605359409664005 avistou um anúncio interessante na dark web. Um "ator conhecido de ameaça" conseguiu comprometer os sistemas de uma "empresa de suporte e serviços de TI" e estava vendendo acesso a eles. O hacker disse que a vítima tinha alguns clientes importantes e que os cibercriminosos dispostos a aceitar sua oferta podem colocar em mãos toneladas de dados extremamente sensíveis.
O hacker estava vendendo acesso aos sistemas da Cognizant? E a gangue de ransomware do Maze comprou isso dele?
Está tudo no campo da especulação, mas é preciso dizer que o tempo certamente aumenta. Segundo o Under the Breach, em 17 de abril, apenas 24 horas antes do ataque ser divulgado publicamente, o anúncio foi retirado do ar. Se os operadores de ransomware do Maze realmente compraram acesso aos sistemas da Cognizant a partir da dark web, eles pagaram mais de US $ 200 mil por isso. É aqui que entra a próxima pergunta.
Quanto os operadores de ransomware Maze ganham?
Como não sabemos quanto da infraestrutura da Cognizant é afetada, é impossível dizer o quão difícil será se recuperar da situação atual. As chances são de que não será fácil.
Ainda assim, considerando que a Cognizant é uma grande empresa de TI da Fortune 500, muitos de vocês provavelmente acham que ela possui uma sólida estratégia de backup. Se esse for realmente o caso, em um ataque típico, os operadores de ransomware serão deixados de mãos vazias, o que pode ser um pequeno consolo. Infelizmente, este não é um ataque típico.
O ransomware Maze apareceu pela primeira vez no ano passado e imediatamente ganhou fama por sua sofisticação. Os especialistas em segurança que o examinaram estão impressionados com o código bem escrito e com a variedade de técnicas de evasão de detecção que seus autores implementaram. À luz de tudo isso, não deve ser muito chocante o fato de ter sido usado quase exclusivamente contra organizações grandes e ricas como a Cognizant. O que o diferencia dos outros nomes no ramo de ransomware, no entanto, é a reviravolta no modus operandi da quadrilha Maze, com a qual todos eles garantem um lucro significativo em quase todos os ataques.
O labirinto é uma das famílias de ransomware que raspa informações confidenciais e as envia para os criminosos antes de criptografá-las. Por esse motivo, os hackers podem primeiro solicitar um resgate para descriptografar os arquivos e, se a vítima não cumprir, pode ameaçar vazar os dados publicamente.
O Maze atinge grandes organizações que fazem negócios com milhares de outras empresas e pessoas, e os vazamentos podem ter sérias conseqüências. Além disso, como os dados roubados são muito sensíveis, não há escassez de pessoas na dark web que ficariam mais do que felizes em pagar por isso, o que significa que a falta de pagamento de resgate pode não ser um problema tão grande, afinal.
Até o momento, não ouvimos falar de dados roubados da Cognizant sendo negociados nos fóruns clandestinos, mas não devemos esquecer que o ataque ocorreu recentemente, por isso é muito cedo para dizer como a situação poderá se desenvolver no futuro. Uma coisa certa é que o Cognizant deve ter muito cuidado com o manejo da situação. Por um lado, deve proteger a segurança dos dados de seus clientes. Por outro lado, deve fazer todo o possível para garantir que os bandidos do labirinto não acabem do jeito que querem. Infelizmente, com a configuração criada pelos criminosos, isso pode ser mais difícil do que parece.
