O que você precisa saber sobre o ataque Cognizant Maze Ransomware

Imagine escrever um e-mail comercial importante e de repente perder o acesso a tudo. Ou receber uma mensagem de erro cruel exigindo que o bitcoin descriptografe o seu computador. Pode haver muitos cenários diferentes, mas uma coisa permanece a mesma para todos os ataques de ransomware - os invasores sempre fornecem instruções sobre como obter seu acesso de volta. Claro, o único problema é que você deve primeiro fornecer uma boa quantia de resgate adiantado.

Um tipo devastador de ransomware conhecido como "Maze" está circulando no mundo da segurança cibernética. Aqui está o que você precisa saber sobre o ransomware Cognizant Maze.

O que é o Maze Ransomware?

O ransomware Maze vem na forma de uma variedade do Windows, distribuída por meio de e-mails de spam e kits de exploração exigindo grandes quantidades de bitcoin ou criptomoeda em troca da descriptografia e recuperação de dados.

Os e-mails chegam com assuntos aparentemente inocentes, como “Sua conta da Verizon está pronta para ser visualizada” ou “Entrega de pacote perdida”, mas se originam de domínios maliciosos. Rumores dizem que Maze é um ransomware baseado em afiliados que opera por meio de uma rede de desenvolvedores que compartilham os lucros com diferentes grupos que se infiltram em redes corporativas.

Para chegar a estratégias para proteger e limitar a exposição de ataques semelhantes, devemos refletir sobre o Labirinto Cognizant...

O Ataque Cognizant Maze Ransomware

Em abril de 2020, Cognizant, uma empresa Fortune 500 e um dos maiores fornecedores globais de TI serviços, tornou-se vítima do ataque de labirinto vicioso que causou imensas interrupções de serviço em todo o quadro.

Devido à exclusão de diretórios internos realizada por este ataque, vários funcionários da Cognizant sofreram de interrupções na comunicação, e a equipe de vendas ficou perplexa, sem nenhuma maneira de se comunicar com os clientes e vice-versa versa.

O fato de a violação de dados da Cognizant ter acontecido quando a empresa estava transferindo funcionários para trabalhar remotamente devido à pandemia do Coronavirus tornou a situação mais desafiadora. De acordo com o relatório de CRN, os funcionários foram forçados a encontrar outros meios de contatar os colegas de trabalho devido à perda de acesso ao e-mail.

“Ninguém quer enfrentar um ataque de ransomware”, disse o CEO da Cognizant, Brian Humphries. “Eu pessoalmente não acredito que ninguém seja realmente imune a isso, mas a diferença é como você administra isso. E tentamos administrá-lo de forma profissional e madura. ”

A empresa desestabilizou rapidamente a situação ao adquirir a ajuda de especialistas em segurança cibernética e suas equipes internas de segurança de TI. O ataque cibernético da Cognizant também foi relatado às agências de aplicação da lei e os clientes da Cognizant receberam atualizações constantes sobre os Indicadores de Compromisso (IOC).

No entanto, a empresa sofreu danos financeiros substanciais devido ao ataque, acumulando até um colossal $ 50- $ 70 milhões em receita perdida.

Por que o Maze Ransomware é uma ameaça dupla?

Como se ser afetado pelo Ransomware não fosse ruim o suficiente, os inventores do ataque Maze deram uma reviravolta extra para as vítimas enfrentarem. Uma tática maliciosa conhecida como "extorsão dupla" é introduzida com um ataque de labirinto onde as vítimas são ameaçados com um vazamento de seus dados comprometidos se eles se recusarem a cooperar e atender o ransomware demandas.

Este notório ransomware é corretamente chamado de "dupla ameaça" porque, além de desligar o acesso à rede para funcionários, ele também cria uma réplica de todos os dados da rede e os usa para explorar e atrair as vítimas para encontrar o resgate.

Infelizmente, as táticas de pressão dos criadores do labirinto não terminam aqui. Uma pesquisa recente indicou que TA2101, um grupo por trás do ransomware Maze, agora publicou um site dedicado que lista todas as suas vítimas não cooperativas e frequentemente publica suas amostras de dados roubados como uma forma de punição.

Como Limitar Incidentes de Ransomware Maze

Mitigar e eliminar os riscos do ransomware é um processo multifacetado onde vários as estratégias são combinadas e personalizadas com base em cada caso de usuário e no perfil de risco de um indivíduo organização. Aqui estão as estratégias mais populares que podem ajudar a impedir um ataque de labirinto imediatamente.

Aplicar lista de permissões de aplicativos

A lista de permissões de aplicativos é uma técnica proativa de mitigação de ameaças que permite que apenas programas ou softwares pré-autorizados sejam executados, enquanto todos os outros são bloqueados por padrão.

Esta técnica ajuda imensamente na identificação de tentativas ilegais de execução de código malicioso e auxilia na prevenção de instalações não autorizadas.

Aplicativos de patch e falhas de segurança

As falhas de segurança devem ser corrigidas assim que forem descobertas, para evitar a manipulação e o abuso por parte dos invasores. Aqui estão os prazos recomendados para a aplicação imediata de patches com base na gravidade das falhas:

• Risco extremo: dentro de 48 horas após o lançamento de um patch.
• Alto risco: dentro de duas semanas após o lançamento de um patch.
• Risco moderado ou baixo: dentro de um mês após o lançamento de um patch.

Definir as configurações de macro do Microsoft Office

As macros são usadas para automatizar tarefas de rotina, mas às vezes podem ser um alvo fácil para transportar código malicioso para um sistema ou computador, uma vez ativado. A melhor abordagem é mantê-los desativados, se possível, ou fazer com que sejam avaliados e revisados ​​antes de usá-los.

Empregar Endurecimento de Aplicação

O endurecimento de aplicativos é um método de blindar seus aplicativos e aplicar camadas extras de segurança para protegê-los contra roubo. Os aplicativos Java são muito propensos a vulnerabilidades de segurança e podem ser usados ​​por atores de ameaças como pontos de entrada. É imperativo proteger sua rede, empregando essa metodologia no nível do aplicativo.

Restringir privilégios administrativos

Os privilégios administrativos devem ser tratados com muita cautela, pois uma conta de administrador tem acesso a tudo. Sempre use o Princípio do Menor Privilégio (POLP) ao configurar acessos e permissões, pois isso pode ser um fator integrante na mitigação do ransomware Maze ou de qualquer ataque cibernético nesse sentido.

Sistemas operacionais de patch

Como regra geral, todos os aplicativos, computadores e dispositivos de rede com vulnerabilidades de risco extremo devem ser corrigidos em 48 horas. Também é vital garantir que apenas as versões mais recentes dos sistemas operacionais estejam sendo usadas e evitar versões sem suporte a qualquer custo.

Implementar autenticação multifator

A autenticação multifator (MFA) adiciona uma camada extra de segurança, pois vários dispositivos autorizados são necessários para fazer o login a soluções de acesso remoto, como banco on-line ou qualquer outra ação privilegiada que requeira o uso de dados confidenciais em formação.

Proteja seus navegadores

É importante garantir que o seu navegador esteja sempre atualizado, os anúncios pop-up sejam bloqueados e as configurações do seu navegador impeçam a instalação de extensões desconhecidas.

Verifique se os sites que você está visitando são legítimos, verificando a barra de endereço. Lembre-se de que o HTTPS é seguro, enquanto o HTTP é consideravelmente menos seguro.

Relacionado: Como inspecionar links suspeitos usando as ferramentas integradas do seu navegador

Como inspecionar links suspeitos usando as ferramentas integradas do seu navegador

Se você encontrar um link suspeito, verifique-o usando as ferramentas disponíveis no seu navegador.

Empregar segurança de e-mail

O principal método de entrada para o ransomware Maze é por e-mail.

Implemente a autenticação multifator para adicionar uma camada extra de segurança e definir datas de expiração para senhas. Além disso, treine você e sua equipe para nunca abrir e-mails de fontes desconhecidas ou pelo menos não baixar nada como anexos suspeitos. Investir em uma solução de proteção de e-mail garante a transmissão segura de seus e-mails.

Faça backups regulares

Os backups de dados são parte integrante de um plano de recuperação de desastres. No caso de um ataque, ao restaurar backups bem-sucedidos, você pode descriptografar facilmente os dados do backup original que foram criptografados pelos hackers. É uma boa ideia configurar backups automatizados e criar senhas exclusivas e complexas para seus funcionários.

Preste atenção aos endpoints e credenciais afetados

Por último, mas não menos importante, se algum dos seus endpoints de rede foi afetado pelo ransomware Maze, você deve identificar rapidamente todas as credenciais usadas neles. Sempre presuma que todos os endpoints estavam disponíveis e / ou comprometidos pelos hackers. O Log de Eventos do Windows será útil para a análise de logons pós-comprometimento.

Relacionado: 7 maneiras de evitar ser atingido por ransomware

Ficou surpreso com o Cognizant Maze Attack?

A violação da Cognizant deixou o provedor de soluções de TI lutando para se recuperar de imensas perdas financeiras e de dados. No entanto, com a ajuda dos principais especialistas em segurança cibernética, a empresa se recuperou rapidamente desse ataque cruel.

Este episódio provou o quão perigosos os ataques de ransomware podem ser.

Além do Labirinto, há uma infinidade de outros ataques de ransomware realizados por criminosos malvados diariamente. A boa notícia é que, com a devida diligência e práticas de segurança rigorosas em vigor, qualquer empresa pode facilmente mitigar esses ataques antes que eles ocorram.

Tudo o que você precisa saber sobre o NetWalker Ransomware

O NetWalker torna todos os arquivos inacessíveis, então como você pode proteger sua empresa?

Sobre o autor