Cognizant faller offer för Maze ransomware
Destruktiva ransomware-attacker mot stora organisationer är alltid stora nyheter, och tyvärr blir de mer och mer vanliga. På lördag erkände till exempel IT-jätten Cognizant att den hade fallit offer för Maze ransomware.
Ordet "jätte" användes inte lätt. Cognizant är en stor IT-tjänsteleverantör med en skugga på över 290 tusen anställda. Det erbjuder ett brett utbud av tjänster till en mängd företag som arbetar inom olika sektorer. Ransomware-attacken på Cognizant kan få stora konsekvenser för ett stort antal människor och organisationer. Naturligtvis börjar vissa frågor dyka upp.
Vad hände exakt?
Tyvärr är detaljerna knappa. Bortsett från ett kort uttalande från den 18 april (som senare publicerades som SEC-arkiv) finns det ingen officiell information från Cognizant. Pressmeddelandet sade inte när angriparna bröt in, hur de gjorde det eller hur långt in i nätverket de lyckades komma. Vissa tror dock att de kanske har en idé.
Ett par veckor före Cognizants pressmeddelande såg en övervakningstjänst för dataintrång med namnet Under the Breach https://twitter.com/underthebreach/status/1251605359409664005 en intressant annons på den mörka webben. En "känd hotaktör" hade lyckats kompromissa med systemen för ett "IT-support- och serviceföretag" och sålde åtkomst till dem. Hackaren sa att offret hade några stora kunder och att cyberbrottslingar som är villiga att ta upp honom på hans erbjudande kan få tag på massor av extremt känslig information.
Sålde hackaren åtkomst till Cognizants system? Och köpte Maze ransomware-gänget det av honom?
Det handlar allt om spekulation, men det måste sägas att tidpunkten säkert kommer att läggas upp. Enligt Under the Breach drogs annonsen offline den 17 april, bara 24 timmar innan attacken offentliggjordes. Om Maze-ransomware-operatörerna verkligen köpte åtkomst till Cognizants system från den mörka webben, betalade de över 200 tusen dollar för det. Det är här nästa fråga kommer in.
Hur mycket får Maze-ransomware-operatörerna att vinna?
Eftersom vi inte vet hur mycket av Cognizants infrastruktur påverkas är det omöjligt att säga hur svårt det kommer att bli att återhämta sig från den nuvarande situationen. Chansen är att det inte kommer att bli lätt.
Med tanke på det faktum att Cognizant är ett stort IT-företag i Fortune 500, tror många av er förmodligen att det har en solid säkerhetsstrategi. Om detta verkligen är fallet, kommer en ransomwareoperatör i en typisk attack att lämnas tomhänt, vilket kan vara en liten tröst. Tyvärr är detta inte en typisk attack.
Maze ransomware dök först ut förra året, och det fick omedelbart beröm för sin sofistikerade. Säkerhetsexperter som har granskat den är imponerade av den välskrivna koden och de olika teknikerna för detektionsundvikande som dess författare har implementerat. Mot bakgrund av allt detta borde det inte vara för mycket av en chock att det nästan uteslutande har använts mot stora, rika organisationer som Cognizant. Det som skiljer det från de andra namnen inom ransomware-branschen är emellertid vridningen i Maze-gängets modus operandi som de alla men garanterar sig en betydande vinst från nästan varje attack.
Maze är en av ransomware-familjerna som skrapar känslig information och skickar den till skurkarna innan de krypteras. På grund av detta kan hackarna först begära en lösen för att dekryptera filerna, och om offret inte följer det kan de hota att läcka informationen offentligt.
Maze träffar stora organisationer som gör affärer med tusentals andra företag och människor, och läckor kan få allvarliga konsekvenser. Dessutom, eftersom de stulna uppgifterna är så känsliga, finns det ingen brist på människor på den mörka webben som mer än gärna skulle betala för det, vilket innebär att avsaknaden av en lösenbetalning kanske inte är ett så stort problem trots allt.
Hittills har vi inte hört talas om att data som stulits från Cognizant handlas på underjordiska forum, men vi ska inte glömma att attacken har ägt rum nyligen, så det är för tidigt att säga hur situationen kan utvecklas i framtiden. En sak som är säker är att Cognizant måste vara mycket försiktig med hanteringen av situationen. Å ena sidan måste den skydda säkerheten för sina kunders data. Å andra sidan bör den göra allt för att säkerställa att Maze-skurkarna inte hamnar på det sättet. Tyvärr, med den installation som kriminella har skapat, kan detta vara svårare än det låter.
