Cosa c'è da sapere sull'attacco ransomware Cognizant Maze

Immagina di scrivere un'importante email di lavoro e di perdere improvvisamente l'accesso a tutto. O ricevere un messaggio di errore vizioso che richiede a bitcoin di decrittografare il tuo computer. Possono esserci molti scenari diversi, ma una cosa rimane la stessa per tutti gli attacchi ransomware: gli aggressori forniscono sempre istruzioni su come riottenere l'accesso. Naturalmente, l'unico problema è che devi prima fornire una notevole quantità di riscatto in anticipo.

Un tipo devastante di ransomware noto come "Maze" sta facendo il giro nel mondo della sicurezza informatica. Ecco cosa devi sapere sul ransomware Cognizant Maze.

Cos'è il Maze Ransomware?

Il ransomware Maze si presenta sotto forma di un ceppo di Windows, distribuito tramite e-mail di spam e kit di exploit chiedendo ingenti quantità di bitcoin o criptovaluta in cambio della decrittazione e del recupero del furto dati.

Le e-mail arrivano con oggetti apparentemente innocenti come "La tua fattura Verizon è pronta per la visualizzazione" o "Mancata consegna del pacco" ma provengono da domini dannosi. Si dice che Maze sia un ransomware affiliato che opera attraverso una rete di sviluppatori che condividono i profitti con diversi gruppi che si infiltrano nelle reti aziendali.

Per elaborare strategie per proteggere e limitare l'esposizione da attacchi simili, dovremmo riflettere sul Cognizant Maze...

L'attacco ransomware Cognizant Maze

Nell'aprile 2020, Cognizant, una società Fortune 500 e uno dei maggiori fornitori globali di IT services, è diventato una vittima del feroce attacco Maze che ha causato enormi interruzioni del servizio il bordo.

A causa della cancellazione delle directory interne effettuata da questo attacco, diversi dipendenti Cognizant hanno sofferto interruzioni della comunicazione e il team di vendita è rimasto sconcertato senza modo di comunicare con clienti e vizi versa.

Il fatto che la violazione dei dati di Cognizant si sia verificata quando la società stava trasferendo i dipendenti per lavorare da remoto a causa della pandemia di Coronavirus ha reso la cosa più difficile. Secondo il rapporto di CRN, i dipendenti sono stati costretti a trovare altri mezzi per contattare i colleghi a causa della perdita dell'accesso alla posta elettronica.

"Nessuno vuole essere affrontato con un attacco ransomware", ha affermato Brian Humphries, CEO di Cognizant. “Personalmente non credo che nessuno ne sia veramente immune, ma la differenza sta nel modo in cui lo gestisci. E abbiamo cercato di gestirlo con professionalità e maturità ".

L'azienda ha rapidamente destabilizzato la situazione acquisendo l'aiuto dei principali esperti di sicurezza informatica e dei loro team interni di sicurezza IT. L'attacco informatico di Cognizant è stato segnalato anche alle forze dell'ordine e ai clienti di Cognizant sono stati forniti aggiornamenti costanti sugli Indicatori di Compromesso (IOC).

Tuttavia, la società ha subito notevoli danni finanziari a causa dell'attacco, accumulandosi fino a un enorme $ 50- $ 70 milioni di mancati guadagni.

Perché Maze Ransomware è una doppia minaccia?

Come se essere colpiti da Ransomware non fosse già abbastanza grave, gli inventori dell'attacco Maze hanno aggiunto una svolta in più per le vittime con cui lottare. Una tattica dannosa nota come "doppia estorsione" viene introdotta con un attacco a labirinto in cui si trovano le vittime minacciato di fuga di dati compromessi se si rifiuta di collaborare e incontrare il ransomware richieste.

Questo famigerato ransomware è giustamente chiamato "doppia minaccia" perché, oltre a chiudere l'accesso alla rete per dipendenti, crea anche una replica dell'intera rete dati e la utilizza per sfruttare e indurre le vittime a incontrare il file riscatto.

Sfortunatamente, le tattiche di pressione dei creatori di Maze non finiscono qui. Ricerche recenti hanno indicato che TA2101, un gruppo dietro il ransomware Maze, ha ora pubblicato un sito web dedicato che elenca tutte le loro vittime non cooperative e pubblica frequentemente i loro campioni di dati rubati come una forma di punizione.

Come limitare gli incidenti di Maze Ransomware

Mitigare ed eliminare i rischi del ransomware è un processo multiforme e vario le strategie vengono combinate e personalizzate in base a ciascun caso utente e al profilo di rischio di un individuo organizzazione. Ecco le strategie più popolari che possono aiutare a fermare un attacco Maze proprio nel suo percorso.

Applica la whitelist delle applicazioni

Il whitelisting delle applicazioni è una tecnica proattiva di mitigazione delle minacce che consente l'esecuzione solo di programmi o software pre-autorizzati mentre tutti gli altri sono bloccati per impostazione predefinita.

Questa tecnica aiuta immensamente a identificare i tentativi illegali di eseguire codice dannoso e aiuta a prevenire installazioni non autorizzate.

Applicazioni di patch e difetti di sicurezza

Le falle di sicurezza dovrebbero essere corrette non appena vengono scoperte per prevenire la manipolazione e l'abuso da parte degli aggressori. Ecco i tempi consigliati per applicare tempestivamente le patch in base alla gravità dei difetti:

• Rischio estremo: entro 48 ore dal rilascio di una patch.
• Alto rischio: entro due settimane dal rilascio di una patch.
• Rischio moderato o basso: entro un mese dal rilascio di una patch.

Configurare le impostazioni delle macro di Microsoft Office

Le macro vengono utilizzate per automatizzare le attività di routine, ma a volte possono essere un facile obiettivo per il trasporto di codice dannoso in un sistema o in un computer una volta abilitate. L'approccio migliore è tenerli disabilitati se possibile o farli valutare e rivedere prima di utilizzarli.

Impiegare la protezione avanzata delle applicazioni

La protezione avanzata delle applicazioni è un metodo per proteggere le applicazioni e applicare ulteriori livelli di sicurezza per proteggerle dai furti. Le applicazioni Java sono molto soggette a vulnerabilità di sicurezza e possono essere utilizzate dagli autori delle minacce come punti di ingresso. È fondamentale salvaguardare la rete utilizzando questa metodologia a livello di applicazione.

Limita i privilegi amministrativi

I privilegi amministrativi dovrebbero essere gestiti con molta cautela poiché un account amministratore ha accesso a tutto. Utilizza sempre il Principle of Least Privilege (POLP) quando imposti gli accessi e le autorizzazioni in quanto ciò può essere un fattore fondamentale per mitigare il ransomware Maze o qualsiasi attacco informatico per quella materia.

Sistemi operativi patch

Come regola generale, tutte le applicazioni, i computer e i dispositivi di rete con vulnerabilità a rischio estremo dovrebbero essere riparati entro 48 ore. È inoltre fondamentale assicurarsi che vengano utilizzate solo le versioni più recenti dei sistemi operativi ed evitare ad ogni costo versioni non supportate.

Implementa l'autenticazione a più fattori

L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza poiché per l'accesso sono necessari più dispositivi autorizzati a soluzioni di accesso remoto come l'online banking o altre azioni privilegiate che richiedono l'uso di dati sensibili informazione.

Proteggi i tuoi browser

È importante assicurarsi che il browser sia sempre aggiornato, gli annunci popup siano bloccati e le impostazioni del browser impediscano l'installazione di estensioni sconosciute.

Verifica se i siti web che stai visitando sono legittimi controllando la barra degli indirizzi. Ricorda solo che HTTPS è sicuro mentre HTTP lo è notevolmente meno.

Relazionato: Come ispezionare i collegamenti sospetti utilizzando gli strumenti integrati del browser

Come ispezionare i collegamenti sospetti utilizzando gli strumenti integrati del browser

Se incontri un collegamento sospetto, controllalo utilizzando gli strumenti disponibili nel tuo browser.

Impiega la sicurezza dell'email

Il principale metodo di accesso al ransomware Maze è tramite e-mail.

Implementa l'autenticazione a più fattori per aggiungere un ulteriore livello di sicurezza e impostare date di scadenza per le password. Inoltre, istruisci te stesso e il personale a non aprire mai e-mail da fonti sconosciute o almeno a non scaricare nulla come allegati sospetti. Investire in una soluzione di protezione della posta elettronica garantisce la trasmissione sicura delle proprie e-mail.

Effettua backup regolari

I backup dei dati sono parte integrante di un piano di ripristino di emergenza. In caso di attacco, ripristinando i backup riusciti è possibile decrittografare facilmente i dati di backup originali crittografati dagli hacker. È una buona idea impostare backup automatici e creare password univoche e complesse per i dipendenti.

Prestare attenzione agli endpoint e alle credenziali interessati

Ultimo ma non meno importante, se uno qualsiasi dei tuoi endpoint di rete è stato colpito dal ransomware Maze, dovresti identificare rapidamente tutte le credenziali utilizzate su di esso. Presumi sempre che tutti gli endpoint fossero disponibili e / o compromessi dagli hacker. Il registro eventi di Windows tornerà utile per l'analisi degli accessi post-compromissione.

Relazionato: 7 modi per evitare di essere colpiti da ransomware

Stordito per il Cognizant Maze Attack?

La violazione di Cognizant ha lasciato il fornitore di soluzioni IT a dover recuperare da immense perdite finanziarie e di dati. Tuttavia, con l'aiuto dei migliori esperti di sicurezza informatica, l'azienda si è rapidamente ripresa da questo attacco feroce.

Questo episodio ha dimostrato quanto possano essere pericolosi gli attacchi ransomware.

Oltre al labirinto, c'è una miriade di altri attacchi ransomware eseguiti quotidianamente da malvagi autori di minacce. La buona notizia è che, con la dovuta diligenza e rigorose pratiche di sicurezza, qualsiasi azienda può facilmente mitigare questi attacchi prima che colpiscano.

Tutto ciò che devi sapere su NetWalker Ransomware

NetWalker rende tutti i file inaccessibili, quindi come puoi proteggere la tua azienda?

Circa l'autore