Cosa c’è da sapere sull’attacco ransomware Cognizant Maze
Immagina di scrivere un’importante email di lavoro e di perdere improvvisamente l’accesso a tutto. O ricevere un messaggio di errore vizioso che richiede a bitcoin di decrittografare il tuo computer. Possono esserci molti scenari diversi, ma una cosa rimane la stessa per tutti gli attacchi ransomware: gli aggressori forniscono sempre istruzioni su come riottenere l’accesso. Naturalmente, l’unico problema è che devi prima fornire una notevole quantità di riscatto in anticipo.
Un tipo devastante di ransomware noto come “Maze” sta facendo il giro nel mondo della sicurezza informatica. Ecco cosa devi sapere sul ransomware Cognizant Maze.
Cos’è il Maze Ransomware?
Il ransomware Maze si presenta sotto forma di un ceppo di Windows, distribuito tramite e-mail di spam e kit di exploit che richiedono ingenti quantità di bitcoin o criptovaluta in cambio della decrittazione e del recupero dei dati rubati.
Le e-mail arrivano con oggetti apparentemente innocenti come “La tua fattura Verizon è pronta per la visualizzazione” o “Mancata consegna del pacco” ma provengono da domini dannosi. Si dice che Maze sia un ransomware affiliato che opera attraverso una rete di sviluppatori che condividono i profitti con diversi gruppi che si infiltrano nelle reti aziendali.
Per elaborare strategie per proteggere e limitare l’esposizione da attacchi simili, dovremmo riflettere su Cognizant Maze …
L’attacco ransomware Cognizant Maze
Nell’aprile 2020, Cognizant, una società Fortune 500 e uno dei maggiori fornitori globali di servizi IT, è diventata vittima del feroce attacco Maze che ha causato enormi interruzioni del servizio su tutta la linea.
A causa dell’eliminazione delle directory interne effettuata da questo attacco, diversi dipendenti Cognizant hanno subito interruzioni di comunicazione e il team di vendita è rimasto sconcertato senza modo di comunicare con i clienti e viceversa.
Il fatto che la violazione dei dati di Cognizant si sia verificata quando la società stava trasferendo i dipendenti per lavorare da remoto a causa della pandemia di Coronavirus ha reso la cosa più difficile. Secondo il rapporto di CRN , i dipendenti sono stati costretti a trovare altri mezzi per contattare i colleghi a causa della perdita dell’accesso alla posta elettronica.
“Nessuno vuole essere affrontato con un attacco ransomware”, ha affermato Brian Humphries, CEO di Cognizant. “Personalmente non credo che nessuno ne sia veramente immune, ma la differenza è come lo gestisci. E abbiamo cercato di gestirlo con professionalità e maturità “.
L’azienda ha rapidamente destabilizzato la situazione acquisendo l’aiuto dei principali esperti di sicurezza informatica e dei loro team interni di sicurezza IT. L’attacco informatico di Cognizant è stato segnalato anche alle forze dell’ordine e ai clienti di Cognizant sono stati forniti aggiornamenti costanti sugli Indicatori di Compromesso (IOC).
Tuttavia, la società ha subito notevoli danni finanziari a causa dell’attacco, accumulando fino a un enorme $ 50- $ 70 milioni di mancate entrate .
Perché Maze Ransomware è una doppia minaccia?
Come se essere colpiti da Ransomware non fosse già abbastanza grave, gli inventori dell’attacco Maze hanno aggiunto una svolta in più per le vittime con cui confrontarsi. Una tattica dannosa nota come “doppia estorsione” viene introdotta con un attacco Maze in cui le vittime vengono minacciate con una fuga di dati compromessi se si rifiutano di collaborare e soddisfare le richieste del ransomware.
Questo famigerato ransomware viene giustamente definito una “doppia minaccia” perché, oltre a bloccare l’accesso alla rete per i dipendenti, crea anche una replica dell’intera rete dati e la utilizza per sfruttare e indurre le vittime a soddisfare il riscatto.
Sfortunatamente, le tattiche di pressione dei creatori di Maze non finiscono qui. Ricerche recenti hanno indicato che TA2101, un gruppo dietro il ransomware Maze, ha ora pubblicato un sito web dedicato che elenca tutte le loro vittime non cooperative e pubblica frequentemente i loro campioni di dati rubati come forma di punizione.
Come limitare gli incidenti di Maze Ransomware
Mitigare ed eliminare i rischi del ransomware è un processo multiforme in cui varie strategie vengono combinate e personalizzate in base a ciascun caso utente e al profilo di rischio di una singola organizzazione. Ecco le strategie più popolari che possono aiutare a fermare un attacco Maze proprio nel suo percorso.
Applica la whitelist delle applicazioni
Il whitelisting delle applicazioni è una tecnica proattiva di mitigazione delle minacce che consente di eseguire solo programmi o software pre-autorizzati mentre tutti gli altri sono bloccati per impostazione predefinita.
Questa tecnica aiuta immensamente a identificare i tentativi illegali di eseguire codice dannoso e aiuta a prevenire installazioni non autorizzate.
Applicazioni di patch e difetti di sicurezza
Le falle di sicurezza dovrebbero essere corrette non appena vengono scoperte per prevenire manipolazioni e abusi da parte degli aggressori. Di seguito sono riportati i tempi consigliati per applicare tempestivamente le patch in base alla gravità dei difetti:
- Rischio estremo : entro 48 ore dal rilascio di una patch.
- Alto rischio : entro due settimane dal rilascio di una patch.
- Rischio moderato o basso : entro un mese dal rilascio di una patch.
Configurare le impostazioni delle macro di Microsoft Office
Le macro vengono utilizzate per automatizzare le attività di routine, ma a volte possono essere un facile bersaglio per il trasporto di codice dannoso in un sistema o computer una volta abilitato. L’approccio migliore è tenerli disabilitati se possibile o farli valutare e rivedere prima di utilizzarli.
Impiegare la protezione avanzata delle applicazioni
La protezione avanzata delle applicazioni è un metodo per proteggere le applicazioni e applicare ulteriori livelli di sicurezza per proteggerle dai furti. Le applicazioni Java sono molto soggette a vulnerabilità di sicurezza e possono essere utilizzate dagli autori delle minacce come punti di ingresso. È fondamentale salvaguardare la rete utilizzando questa metodologia a livello di applicazione.
Limita i privilegi amministrativi
I privilegi amministrativi dovrebbero essere gestiti con molta cautela poiché un account amministratore ha accesso a tutto. Utilizza sempre il Principle of Least Privilege (POLP) quando imposti gli accessi e le autorizzazioni in quanto ciò può essere un fattore fondamentale per mitigare il ransomware Maze o qualsiasi attacco informatico per quella materia.
Sistemi operativi patch
Come regola generale, tutte le applicazioni, i computer e i dispositivi di rete con vulnerabilità a rischio estremo devono essere riparati entro 48 ore. È inoltre fondamentale assicurarsi che vengano utilizzate solo le versioni più recenti dei sistemi operativi ed evitare versioni non supportate ad ogni costo.
Implementa l’autenticazione a più fattori
Multi-Factor Authentication (MFA) aggiunge un ulteriore livello di sicurezza in quanto sono necessari più dispositivi autorizzati per accedere a soluzioni di accesso remoto come l’online banking o altre azioni privilegiate che richiedono l’uso di informazioni sensibili.
Proteggi i tuoi browser
È importante assicurarsi che il browser sia sempre aggiornato, gli annunci pop-up siano bloccati e le impostazioni del browser impediscano l’installazione di estensioni sconosciute.
Verifica se i siti web che stai visitando sono legittimi controllando la barra degli indirizzi. Ricorda solo che HTTPS è sicuro mentre HTTP lo è notevolmente meno.
Impiega la sicurezza della posta elettronica
Il metodo principale di accesso al ransomware Maze è tramite e-mail.
Implementa l’autenticazione a più fattori per aggiungere un ulteriore livello di sicurezza e impostare date di scadenza per le password. Inoltre, istruisci te stesso e il personale a non aprire mai e-mail da fonti sconosciute o almeno a non scaricare nulla come allegati sospetti. Investire in una soluzione di protezione della posta elettronica garantisce la trasmissione sicura delle proprie e-mail.
Effettua backup regolari
I backup dei dati sono parte integrante di un piano di ripristino di emergenza. In caso di attacco, ripristinando i backup riusciti è possibile decrittografare facilmente i dati di backup originali crittografati dagli hacker. È una buona idea impostare backup automatici e creare password univoche e complesse per i dipendenti.
Prestare attenzione agli endpoint e alle credenziali interessati
Ultimo ma non meno importante, se uno qualsiasi dei tuoi endpoint di rete è stato colpito dal ransomware Maze, dovresti identificare rapidamente tutte le credenziali utilizzate su di esso. Presumi sempre che tutti gli endpoint fossero disponibili e / o compromessi dagli hacker. Il registro eventi di Windows tornerà utile per l’analisi degli accessi post-compromissione.
Stordito per il Cognizant Maze Attack?
La violazione di Cognizant ha lasciato il fornitore di soluzioni IT a dover recuperare da immense perdite finanziarie e di dati. Tuttavia, con l’aiuto dei migliori esperti di sicurezza informatica, l’azienda si è rapidamente ripresa da questo attacco feroce.
Questo episodio ha dimostrato quanto possano essere pericolosi gli attacchi ransomware.
Oltre al labirinto, c’è una miriade di altri attacchi ransomware eseguiti quotidianamente da malvagi autori di minacce. La buona notizia è che, con la dovuta diligenza e rigorose pratiche di sicurezza, qualsiasi azienda può facilmente mitigare questi attacchi prima che colpiscano.
