O que você precisa saber sobre o ataque Cognizant Maze Ransomware
Imagine escrever um e-mail comercial importante e, de repente, perder o acesso a tudo. Ou receber uma mensagem de erro cruel exigindo que o bitcoin descriptografe o seu computador. Pode haver muitos cenários diferentes, mas uma coisa permanece a mesma para todos os ataques de ransomware – os invasores sempre fornecem instruções sobre como obter seu acesso de volta. Claro, o único problema é que você deve primeiro fornecer uma grande quantia de resgate adiantado.
Um tipo devastador de ransomware conhecido como "Maze" está circulando no mundo da segurança cibernética. Aqui está o que você precisa saber sobre o ransomware Cognizant Maze.
O que é o Maze Ransomware?
O ransomware Maze vem na forma de uma variedade do Windows, distribuída por meio de e-mails de spam e kits de exploração que exigem grandes quantidades de bitcoin ou criptomoeda em troca da descriptografia e recuperação de dados roubados.
Os e-mails chegam com assuntos aparentemente inocentes, como “Sua conta da Verizon está pronta para ser visualizada” ou “Entrega de pacote perdida”, mas são originados de domínios maliciosos. Rumores dizem que Maze é um ransomware baseado em afiliados que opera através de uma rede de desenvolvedores que compartilham os lucros com diferentes grupos que se infiltram em redes corporativas.
Para chegar a estratégias para proteger e limitar a exposição de ataques semelhantes, devemos refletir sobre o Labirinto Cognizant …
O Ataque Cognizant Maze Ransomware
Em abril de 2020, Cognizant, uma empresa Fortune 500 e um dos maiores provedores globais de serviços de TI, foi vítima do ataque Maze vicioso que causou imensas interrupções de serviço em toda a linha.
Devido à exclusão de diretórios internos realizada por este ataque, vários funcionários da Cognizant sofreram interrupções de comunicação e a equipe de vendas ficou perplexa, sem nenhuma maneira de se comunicar com os clientes e vice-versa.
O fato de a violação de dados da Cognizant ter acontecido quando a empresa estava transferindo funcionários para trabalhar remotamente devido à pandemia do Coronavirus tornou a situação mais desafiadora. De acordo com o relatório do CRN , os funcionários foram obrigados a encontrar outros meios de contato com os colegas de trabalho devido à perda de acesso ao e-mail.
“Ninguém quer enfrentar um ataque de ransomware”, disse o CEO da Cognizant, Brian Humphries. “Eu pessoalmente não acredito que ninguém seja realmente imune a isso, mas a diferença é como você administra isso. E tentamos administrar isso de forma profissional e madura. ”
A empresa rapidamente desestabilizou a situação ao adquirir a ajuda de especialistas em segurança cibernética e suas equipes internas de segurança de TI. O ataque cibernético da Cognizant também foi relatado às agências de aplicação da lei e os clientes da Cognizant receberam atualizações constantes sobre os Indicadores de Compromisso (IOC).
No entanto, a empresa sofreu danos financeiros substanciais devido ao ataque, acumulando até $ 50- $ 70 milhões em receitas perdidas .
Por que o Maze Ransomware é uma ameaça dupla?
Como se ser afetado pelo Ransomware não fosse ruim o suficiente, os inventores do ataque de labirinto deram um toque extra para as vítimas enfrentarem. Uma tática maliciosa conhecida como “extorsão dupla” é introduzida com um ataque de labirinto em que as vítimas são ameaçadas com um vazamento de seus dados comprometidos se se recusarem a cooperar e atender às demandas de ransomware.
Este ransomware notório é corretamente chamado de “dupla ameaça” porque, além de desligar o acesso à rede para os funcionários, também cria uma réplica de todos os dados da rede e os usa para explorar e atrair as vítimas para o resgate.
Infelizmente, as táticas de pressão dos criadores do labirinto não terminam aqui. Uma pesquisa recente indicou que TA2101, um grupo por trás do ransomware Maze, agora publicou um site dedicado que lista todas as suas vítimas não cooperativas e frequentemente publica suas amostras de dados roubados como forma de punição.
Como Limitar Incidentes de Ransomware Maze
Mitigar e eliminar os riscos do ransomware é um processo multifacetado no qual várias estratégias são combinadas e personalizadas com base em cada caso de usuário e no perfil de risco de uma organização individual. Aqui estão as estratégias mais populares que podem ajudar a interromper um ataque de labirinto imediatamente.
Aplicar lista de permissões de aplicativos
A lista de permissões de aplicativos é uma técnica proativa de mitigação de ameaças que permite que apenas programas ou softwares pré-autorizados sejam executados, enquanto todos os outros são bloqueados por padrão.
Esta técnica ajuda imensamente na identificação de tentativas ilegais de execução de código malicioso e auxilia na prevenção de instalações não autorizadas.
Aplicativos de patch e falhas de segurança
As falhas de segurança devem ser corrigidas assim que forem descobertas para evitar manipulação e abuso por parte dos invasores. Aqui estão os prazos recomendados para a aplicação imediata de patches com base na gravidade das falhas:
- Risco extremo : dentro de 48 horas após o lançamento de um patch.
- Alto risco : dentro de duas semanas após o lançamento de um patch.
- Risco moderado ou baixo : dentro de um mês após o lançamento de um patch.
Definir as configurações de macro do Microsoft Office
As macros são usadas para automatizar tarefas de rotina, mas às vezes podem ser um alvo fácil para transportar código malicioso para um sistema ou computador, uma vez ativado. A melhor abordagem é mantê-los desativados, se possível, ou fazer com que sejam avaliados e revisados antes de usá-los.
Empregar aplicação de proteção
O endurecimento de aplicativos é um método de blindar seus aplicativos e aplicar camadas extras de segurança para protegê-los contra roubo. Os aplicativos Java são muito propensos a vulnerabilidades de segurança e podem ser usados por agentes de ameaças como pontos de entrada. É fundamental proteger sua rede empregando essa metodologia no nível do aplicativo.
Restringir privilégios administrativos
Os privilégios administrativos devem ser tratados com bastante cuidado, pois uma conta de administrador tem acesso a tudo. Sempre empregue o Princípio do Menor Privilégio (POLP) ao configurar acessos e permissões, pois isso pode ser um fator integrante para mitigar o ransomware Maze ou qualquer ataque cibernético para esse assunto.
Sistemas operacionais de patch
Como regra geral, todos os aplicativos, computadores e dispositivos de rede com vulnerabilidades de risco extremo devem ser corrigidos em 48 horas. Também é vital garantir que apenas as versões mais recentes dos sistemas operacionais estejam sendo usadas e evitar versões sem suporte a qualquer custo.
Implementar autenticação multifator
A autenticação multifator (MFA) adiciona uma camada extra de segurança, pois vários dispositivos autorizados são necessários para fazer login em soluções de acesso remoto, como banco on-line ou qualquer outra ação privilegiada que requeira o uso de informações confidenciais.
Proteja seus navegadores
É importante garantir que o seu navegador esteja sempre atualizado, os anúncios pop-up sejam bloqueados e as configurações do seu navegador impeçam a instalação de extensões desconhecidas.
Verifique se os sites que você está visitando são legítimos verificando a barra de endereço. Lembre-se de que o HTTPS é seguro, enquanto o HTTP é consideravelmente menos seguro.
Empregar segurança de e-mail
O principal método de entrada para o ransomware Maze é por e-mail.
Implemente a autenticação multifator para adicionar uma camada extra de segurança e definir datas de expiração para senhas. Além disso, treine você e sua equipe para nunca abrir e-mails de fontes desconhecidas ou pelo menos não baixar nada como anexos suspeitos. Investir em uma solução de proteção de e-mail garante a transmissão segura de seus e-mails.
Faça backups regulares
Os backups de dados são parte integrante de um plano de recuperação de desastres. No caso de um ataque, ao restaurar backups bem-sucedidos, você pode descriptografar facilmente os dados do backup original criptografados pelos hackers. É uma boa ideia configurar backups automatizados e criar senhas exclusivas e complexas para seus funcionários.
Preste atenção aos endpoints e credenciais afetados
Por último, mas não menos importante, se algum de seus endpoints de rede foi afetado pelo ransomware Maze, você deve identificar rapidamente todas as credenciais usadas neles. Sempre presuma que todos os endpoints estavam disponíveis e / ou comprometidos pelos hackers. O Log de eventos do Windows será útil para a análise de logons pós-comprometimento.
Ficou surpreso com o Cognizant Maze Attack?
A violação da Cognizant deixou o provedor de soluções de TI lutando para se recuperar de imensas perdas financeiras e de dados. No entanto, com a ajuda dos principais especialistas em segurança cibernética, a empresa se recuperou rapidamente desse ataque cruel.
Este episódio provou o quão perigosos os ataques de ransomware podem ser.
Além do labirinto, há uma infinidade de outros ataques de ransomware executados por agentes de ameaças cruéis diariamente. A boa notícia é que, com a devida diligência e práticas de segurança rigorosas em vigor, qualquer empresa pode facilmente mitigar esses ataques antes que eles ocorram.