Čo potrebujete vedieť o ransomvérovom útoku Cognizant Maze

Predstavte si, že napíšete dôležitý pracovný email a zrazu stratíte prístup ku všetkému. Alebo dostanete brutálnu chybovú správu vyžadujúcu bitcoiny na dešifrovanie vášho počítača. Môže existovať veľa rôznych scenárov, ale jedna vec zostáva rovnaká pre všetky útoky ransomvéru – útočníci vždy poskytnú pokyny, ako získať váš prístup späť. Samozrejme, jediný háčik je v tom, že najprv musíte poskytnúť poriadne veľké výkupné vopred.

Zničujúci typ ransomvéru známy ako „bludisko“ hýbe svetom kybernetickej bezpečnosti. Tu je to, čo potrebujete vedieť o ransomvéri Cognizant Maze.

Čo je to Maze Ransomware?

Maze ransomware prichádza vo forme kmeňa Windows, distribuovaného prostredníctvom spamových e-mailov a exploit kitov požadujúcich veľké množstvo bitcoinov alebo kryptomien výmenou za dešifrovanie a obnovu ukradnutých dát.

E-maily prichádzajú so zdanlivo nevinnými predmetmi ako „Váš účet Verizon je pripravený na zobrazenie“ alebo „Zmeškané doručenie balíka“, ale pochádzajú zo škodlivých domén. Hovorí sa, že Maze je ransomvér založený na pridružených spoločnostiach, ktorý funguje prostredníctvom siete vývojárov, ktorí zdieľajú zisky s rôznymi skupinami, ktoré prenikajú do podnikových sietí.

Aby sme prišli so stratégiami na ochranu a obmedzenie vystavenia podobným útokom, mali by sme sa zamyslieť nad vedomým bludiskom...

Ransomvérový útok Cognizant Maze

V apríli 2020 sa spoločnosť Cognizant, spoločnosť z rebríčka Fortune 500 a jeden z najväčších globálnych poskytovateľov IT služieb, stala obeťou brutálneho útoku Maze, ktorý spôsobil obrovské narušenie poskytovaných služieb.

V dôsledku vymazania interných adresárov vykonaných týmto útokom utrpelo niekoľko zamestnancov spoločnosti Cognizant komunikačné poruchy a obchodný tím zostal bez možnosti komunikovať s klientmi a naopak.

Skutočnosť, že k porušeniu údajov Cognizant došlo, keď spoločnosť premiestňovala zamestnancov na prácu na diaľku v dôsledku pandémie koronavírusu, to sťažila. Podľa správy CRN boli zamestnanci nútení nájsť iné spôsoby, ako kontaktovať spolupracovníkov kvôli strate prístupu k e-mailu.

„Nikto nechce, aby sa zaoberal útokom ransomvéru,“ povedal generálny riaditeľ spoločnosti Cognizant Brian Humphries. „Osobne neverím, že niekto je voči tomu skutočne nepriepustný, ale rozdiel je v tom, ako to zvládate. A snažili sme sa to zvládnuť profesionálne a dospelo.“

Spoločnosť rýchlo destabilizovala situáciu získaním pomoci popredných odborníkov na kybernetickú bezpečnosť a ich interných tímov IT bezpečnosti. Kybernetický útok spoločnosti Cognizant bol nahlásený aj orgánom činným v trestnom konaní a klienti spoločnosti Cognizant dostávali neustále aktuálne informácie o indikátoroch kompromisu (IOC).

Spoločnosti však v dôsledku útoku vznikli značné finančné škody, ktoré nahromadili až neuveriteľných 50 až 70 miliónov dolárov v stratených príjmoch .

Prečo je Maze Ransomware dvojitou hrozbou?

Ako keby to, že vás ransomvér zasiahne, nebolo dosť zlé, vynálezcovia útoku v bludisku pripravili pre obete ďalší zvrat. Škodlivá taktika známa ako „dvojité vydieranie“ je predstavená útokom Maze, kde sa obetiam vyhráža únikom ich kompromitovaných údajov, ak odmietnu spolupracovať a splniť požiadavky ransomvéru.

Tento notoricky známy ransomvér sa právom nazýva „dvojitá hrozba“, pretože okrem odstavenia prístupu k sieti pre zamestnancov vytvára aj repliku údajov celej siete a používa ich na zneužívanie a lákanie obetí na splnenie výkupného.

Žiaľ, nátlaková taktika zo strany tvorcov Maze tu nekončí. Nedávny výskum ukázal, že TA2101, skupina stojaca za ransomvérom Maze, teraz zverejnila špecializovanú webovú stránku, ktorá obsahuje zoznam všetkých ich nespolupracujúcich obetí a často zverejňuje vzorky ich ukradnutých údajov ako formu trestu.

Ako obmedziť incidenty Maze Ransomware

Zmierňovanie a odstraňovanie rizík ransomvéru je mnohostranný proces, pri ktorom sa rôzne stratégie kombinujú a prispôsobujú na základe každého prípadu používateľa a rizikového profilu jednotlivej organizácie. Tu sú najobľúbenejšie stratégie, ktoré môžu pomôcť zastaviť útok Maze priamo v jeho stopách.

Vynútiť zoznam povolených aplikácií

Aplikácia Whitelisting je proaktívna technika zmierňovania hrozieb, ktorá umožňuje spustenie iba vopred autorizovaných programov alebo softvéru, zatiaľ čo všetky ostatné sú predvolene blokované.

Táto technika nesmierne pomáha pri identifikácii nelegálnych pokusov o spustenie škodlivého kódu a pomáha predchádzať neoprávneným inštaláciám.

Opravte aplikácie a bezpečnostné chyby

Bezpečnostné chyby by sa mali opraviť hneď, ako sa objavia, aby sa zabránilo manipulácii a zneužitiu útočníkmi. Tu sú odporúčané časové rámce na okamžitú aplikáciu opráv na základe závažnosti nedostatkov:

• Extrémne riziko : do 48 hodín od vydania náplasti.
• Vysoké riziko : do dvoch týždňov od vydania náplasti.
• Stredné alebo nízke riziko : do jedného mesiaca od vydania náplasti.

Nakonfigurujte nastavenia makra Microsoft Office

Makrá sa používajú na automatizáciu rutinných úloh, ale niekedy môžu byť jednoduchým cieľom na prenos škodlivého kódu do systému alebo počítača, keď sú povolené. Najlepším prístupom je ponechať ich deaktivované, ak je to možné, alebo ich nechať posúdiť a skontrolovať pred ich použitím.

Využite spevnenie aplikácií

Application Hardening je metóda ochrany vašich aplikácií a aplikácie dodatočných vrstiev zabezpečenia na ich ochranu pred krádežou. Java aplikácie sú veľmi náchylné na bezpečnostné slabiny a môžu byť použité aktérmi hrozieb ako vstupné body. Je nevyhnutné, aby ste ochránili svoju sieť využitím tejto metodológie na aplikačnej úrovni.

Obmedziť administratívne oprávnenia

S administratívnymi oprávneniami by sa malo zaobchádzať s veľkou opatrnosťou, pretože účet správcu má prístup ku všetkému. Pri nastavovaní prístupov a povolení vždy používajte princíp najmenšieho privilégia (POLP), pretože to môže byť neodmysliteľným faktorom pri zmierňovaní výskytu ransomvéru Maze alebo akéhokoľvek kybernetického útoku.

Oprava operačných systémov

Všeobecne platí, že všetky aplikácie, počítače a sieťové zariadenia s extrémne rizikovými zraniteľnosťami by mali byť opravené do 48 hodín. Je tiež dôležité zabezpečiť, aby sa používali iba najnovšie verzie operačných systémov a vyhnúť sa nepodporovaným verziám za každú cenu.

Implementujte viacfaktorovú autentifikáciu

Multi-Factor Authentication (MFA) pridáva ďalšiu vrstvu zabezpečenia, pretože na prihlásenie do riešení vzdialeného prístupu, ako je online bankovníctvo alebo akékoľvek iné privilegované akcie, ktoré vyžadujú použitie citlivých informácií, je potrebných viacero autorizovaných zariadení.

Zabezpečte svoje prehliadače

Je dôležité zabezpečiť, aby bol váš prehliadač neustále aktualizovaný, aby boli blokované kontextové reklamy a aby nastavenia prehliadača zabránili inštalácii neznámych rozšírení.

Skontrolujte, či sú webové stránky, ktoré navštevujete, legitímne tak, že skontrolujete panel s adresou. Pamätajte, že HTTPS je bezpečný, zatiaľ čo HTTP je oveľa menej bezpečný.

Súvisiace články:  Ako skontrolovať podozrivé odkazy pomocou vstavaných nástrojov vášho prehliadača

Zamestnajte bezpečnosť e-mailov

Hlavnou metódou vstupu do ransomvéru Maze je e-mail.

Implementujte viacfaktorovú autentifikáciu na pridanie ďalšej vrstvy zabezpečenia a nastavenie dátumov vypršania platnosti hesiel. Tiež trénujte seba a zamestnancov, aby ste nikdy neotvárali e-maily z neznámych zdrojov alebo aspoň nesťahovali niečo ako podozrivé prílohy. Investícia do riešenia ochrany e-mailov zaisťuje bezpečný prenos vašich e-mailov.

Vytvárajte pravidelné zálohy

Zálohovanie údajov je neoddeliteľnou súčasťou plánu obnovy po havárii. V prípade útoku môžete obnovením úspešných záloh ľahko dešifrovať pôvodné zálohované dáta, ktoré boli zašifrované hackermi. Je dobré nastaviť automatické zálohovanie a vytvoriť jedinečné a zložité heslá pre svojich zamestnancov.

Venujte pozornosť dotknutým koncovým bodom a povereniam

V neposlednom rade, ak bol niektorý z vašich koncových bodov siete ovplyvnený ransomvérom Maze, mali by ste rýchlo identifikovať všetky prihlasovacie údaje, ktoré sa na nich používajú. Vždy predpokladajte, že všetky koncové body boli dostupné a/alebo boli napadnuté hackermi. Denník udalostí systému Windows bude užitočný pri analýze prihlásení po kompromise.

Súvisiace:  7 spôsobov, ako sa vyhnúť zásahu ransomvérom

Si omámený útokom na poznávacie bludisko?

Porušenie Cognizant spôsobilo, že poskytovateľ IT riešení sa musel zotaviť z obrovských finančných strát a strát údajov. S pomocou špičkových odborníkov na kybernetickú bezpečnosť sa však spoločnosť z tohto krutého útoku rýchlo spamätala.

Táto epizóda ukázala, aké nebezpečné môžu byť ransomvérové ​​útoky.

Okrem bludiska existuje množstvo ďalších útokov ransomvéru, ktoré denne vykonávajú zákerní aktéri hrozieb. Dobrou správou je, že s náležitou starostlivosťou a prísnymi bezpečnostnými postupmi môže každá spoločnosť ľahko zmierniť tieto útoky skôr, ako zaútočia.