Co musisz wiedzieć o ataku Cognizant Maze Ransomware

Wyobraź sobie, że piszesz ważną służbową wiadomość e-mail i nagle tracisz dostęp do wszystkiego. Lub otrzymując błędny komunikat o błędzie, żądający bitcoinów w celu odszyfrowania komputera. Może istnieć wiele różnych scenariuszy, ale jedna rzecz pozostaje taka sama dla wszystkich ataków ransomware - osoby atakujące zawsze dostarczają instrukcje, jak odzyskać dostęp. Oczywiście jedyny haczyk polega na tym, że najpierw musisz wpłacić sporą kwotę okupu z góry.

Niszczycielski rodzaj oprogramowania ransomware, znany jako „Maze”, krąży po świecie cyberbezpieczeństwa. Oto, co musisz wiedzieć o ransomware Cognizant Maze.

Co to jest ransomware Maze?

Ransomware Maze występuje w postaci odmiany systemu Windows, rozprowadzanej za pośrednictwem wiadomości spamowych i zestawów exploitów żądając dużych ilości bitcoinów lub kryptowaluty w zamian za odszyfrowanie i odzyskanie skradzionych dane.

E-maile przychodzą z pozornie niewinnymi wierszami tematu, takimi jak „Twój rachunek Verizon jest gotowy do wyświetlenia” lub „Nieudana przesyłka”, ale pochodzą ze złośliwych domen. Plotka głosi, że Maze to afiliacyjne oprogramowanie ransomware działające poprzez sieć programistów, którzy dzielą zyski z różnymi grupami, które przenikają do sieci korporacyjnych.

Aby wymyślić strategie chroniące i ograniczające narażenie na podobne ataki, powinniśmy zastanowić się nad labiryntem świadomości...

Atak Cognizant Maze Ransomware

W kwietniu 2020 roku Cognizant, firma z listy Fortune 500 i jeden z największych światowych dostawców IT usług, stał się ofiarą okrutnego ataku Maze, który spowodował ogromne zakłócenia w świadczeniu usług tablica.

Z powodu usunięcia wewnętrznych katalogów przeprowadzonego w wyniku tego ataku ucierpiało kilku pracowników Cognizant zakłócenia komunikacji, a zespół sprzedaży został zdezorientowany bez możliwości komunikowania się z klientami i występkami versa.

Fakt, że do naruszenia bezpieczeństwa danych Cognizant doszło, gdy firma przenosiła pracowników do pracy zdalnej z powodu pandemii koronawirusa, sprawił, że było to trudniejsze. Według raportu autorstwa CRNpracownicy zostali zmuszeni do znalezienia innych sposobów skontaktowania się ze współpracownikami z powodu utraty dostępu do poczty e-mail.

„Nikt nie chce mieć do czynienia z atakiem ransomware” - powiedział Cognizant CEO, Brian Humphries. „Osobiście nie wierzę, że ktokolwiek jest na to naprawdę odporny, ale różnica polega na tym, jak sobie z tym radzisz. A my staraliśmy się to zarządzać profesjonalnie i dojrzale ”.

Firma szybko zdestabilizowała sytuację, pozyskując pomoc czołowych ekspertów ds. Cyberbezpieczeństwa oraz ich wewnętrznych zespołów ds. Bezpieczeństwa IT. Cognizant cyberatak został również zgłoszony do organów ścigania, a klienci Cognizant otrzymywali ciągłe aktualizacje wskaźników kompromisu (IOC).

Jednak firma poniosła znaczne straty finansowe w wyniku ataku, osiągając ogromne rozmiary Utracone dochody w wysokości 50–70 mln USD.

Dlaczego oprogramowanie Maze Ransomware to podwójne zagrożenie?

Jakby atak Ransomware nie był wystarczająco zły, wynalazcy ataku Labiryntu wprowadzili dodatkowy zwrot akcji, z którymi ofiary mogły się zmagać. Złośliwa taktyka znana jako „podwójne wymuszenie” zostaje wprowadzona wraz z atakiem Maze tam, gdzie znajdują się ofiary groziło wyciekiem ich zainfekowanych danych, jeśli odmówią współpracy i spotkają się z oprogramowaniem ransomware żądań.

To notoryczne oprogramowanie ransomware jest słusznie nazywane „podwójnym zagrożeniem”, ponieważ oprócz zamykania dostępu do sieci dla pracowników, tworzy również replikę całej sieci danych i wykorzystuje ją do wykorzystywania i wabienia ofiar do spotkania się z okup.

Niestety taktyka presji twórców Labiryntu na tym się nie kończy. Ostatnie badania wykazały, że TA2101, grupa stojąca za ransomware Maze, opublikowała specjalną stronę internetową który wymienia wszystkie ich niechętne do współpracy ofiary i często publikuje próbki skradzionych danych jako formę kara.

Jak ograniczyć incydenty ransomware Maze

Łagodzenie i eliminowanie zagrożeń związanych z oprogramowaniem ransomware to wieloaspektowy proces, na który składają się różne strategie są łączone i dostosowywane na podstawie każdego przypadku użytkownika i profilu ryzyka danej osoby organizacja. Oto najpopularniejsze strategie, które mogą pomóc powstrzymać atak Labiryntu na jego drodze.

Wymuszaj stosowanie białej listy aplikacji

Biała lista aplikacji to proaktywna technika ograniczania zagrożeń, która umożliwia uruchamianie tylko wstępnie autoryzowanych programów lub oprogramowania, podczas gdy wszystkie inne są domyślnie blokowane.

Technika ta bardzo pomaga w identyfikacji nielegalnych prób wykonania złośliwego kodu i pomaga w zapobieganiu nieautoryzowanym instalacjom.

Popraw aplikacje i luki w zabezpieczeniach

Luki w zabezpieczeniach należy załatać, gdy tylko zostaną wykryte, aby zapobiec manipulacji i nadużyciom ze strony atakujących. Oto zalecane ramy czasowe szybkiego nakładania poprawek w zależności od stopnia wady:

• Ekstremalne ryzyko: w ciągu 48 godzin od opublikowania poprawki.
• Wysokie ryzyko: w ciągu dwóch tygodni od opublikowania poprawki.
• Umiarkowane lub niskie ryzyko: w ciągu miesiąca od opublikowania poprawki.

Skonfiguruj ustawienia makr pakietu Microsoft Office

Makra są używane do automatyzacji rutynowych zadań, ale czasami mogą być łatwym celem transportu złośliwego kodu do systemu lub komputera po włączeniu. Najlepszym podejściem jest wyłączenie ich, jeśli to możliwe, lub poddanie ich ocenie i przeglądowi przed ich użyciem.

Zastosuj utwardzanie aplikacji

Utwardzanie aplikacji to metoda ochrony aplikacji i nakładania dodatkowych warstw zabezpieczeń w celu ochrony przed kradzieżą. Aplikacje Java są bardzo podatne na luki w zabezpieczeniach i mogą być wykorzystywane przez podmioty zagrażające jako punkty wejścia. Konieczne jest zabezpieczenie sieci poprzez zastosowanie tej metodologii na poziomie aplikacji.

Ogranicz uprawnienia administracyjne

Z przywilejami administracyjnymi należy obchodzić się z dużą ostrożnością, ponieważ konto administratora ma dostęp do wszystkiego. Zawsze stosuj zasadę najmniejszego przywileju (POLP) podczas konfigurowania dostępu i uprawnień, ponieważ może to być integralnym czynnikiem w ograniczaniu zagrożenia ransomware Maze lub jakiegokolwiek cyberataku w tym zakresie.

Popraw systemy operacyjne

Z reguły wszystkie aplikacje, komputery i urządzenia sieciowe ze skrajnymi lukami w zabezpieczeniach powinny zostać załatane w ciągu 48 godzin. Ważne jest również, aby upewnić się, że używane są tylko najnowsze wersje systemów operacyjnych i unikać nieobsługiwanych wersji za wszelką cenę.

Wdrożenie uwierzytelniania wieloskładnikowego

Multi-Factor Authentication (MFA) zapewnia dodatkową warstwę bezpieczeństwa, ponieważ do zalogowania się potrzeba wielu autoryzowanych urządzeń do rozwiązań zdalnego dostępu, takich jak bankowość internetowa lub inne uprzywilejowane działania, które wymagają użycia poufnych danych Informacja.

Zabezpiecz swoje przeglądarki

Ważne jest, aby upewnić się, że przeglądarka jest zawsze aktualizowana, wyskakujące reklamy są blokowane, a ustawienia przeglądarki uniemożliwiają instalację nieznanych rozszerzeń.

Sprawdź, czy odwiedzane witryny internetowe są wiarygodne, sprawdzając pasek adresu. Pamiętaj tylko, że HTTPS jest bezpieczny, podczas gdy HTTP jest znacznie mniejszy.

Związane z: Jak sprawdzać podejrzane linki za pomocą narzędzi wbudowanych w przeglądarkę

Jak sprawdzać podejrzane linki za pomocą narzędzi wbudowanych w przeglądarkę

Jeśli napotkasz podejrzany link, sprawdź go za pomocą narzędzi dostępnych w Twojej przeglądarce.

Zatrudnij Email Security

Główną metodą przedostania się ransomware Maze jest e-mail.

Zaimplementuj uwierzytelnianie wieloskładnikowe, aby dodać dodatkową warstwę zabezpieczeń i ustawić daty ważności haseł. Ponadto wyszkol siebie i personel, aby nigdy nie otwierać wiadomości e-mail z nieznanych źródeł lub przynajmniej nie pobierać niczego w rodzaju podejrzanych załączników. Inwestycja w rozwiązanie do ochrony poczty e-mail zapewnia bezpieczną transmisję wiadomości e-mail.

Rób regularne kopie zapasowe

Kopie zapasowe danych są integralną częścią planu odtwarzania po awarii. W przypadku ataku, przywracając udane kopie zapasowe, możesz łatwo odszyfrować oryginalne dane z kopii zapasowej, które zostały zaszyfrowane przez hakerów. Dobrym pomysłem jest skonfigurowanie automatycznych kopii zapasowych oraz tworzenie unikalnych i złożonych haseł dla pracowników.

Zwróć uwagę na dotknięte punkty końcowe i poświadczenia

Wreszcie, jeśli którykolwiek z punktów końcowych sieci został dotknięty przez oprogramowanie ransomware Maze, należy szybko zidentyfikować wszystkie używane na nich poświadczenia. Zawsze zakładaj, że wszystkie punkty końcowe były dostępne i / lub przejęte przez hakerów. Dziennik zdarzeń systemu Windows przyda się do analizy logowania po włamaniu.

Związane z: 7 sposobów, aby uniknąć uderzenia przez oprogramowanie ransomware

Oszołomiony atakiem Świadomego Labiryntu?

Naruszenie typu Cognizant sprawiło, że dostawca rozwiązań informatycznych zaczął walczyć o odzyskanie sił po ogromnych stratach finansowych i danych. Jednak z pomocą czołowych ekspertów ds. Cyberbezpieczeństwa firma szybko wyszła z tego okrutnego ataku.

Ten odcinek pokazał, jak niebezpieczne mogą być ataki ransomware.

Oprócz Labiryntu istnieje mnóstwo innych ataków oprogramowania ransomware przeprowadzanych codziennie przez złośliwe zagrożenia. Dobra wiadomość jest taka, że ​​dzięki należytej staranności i rygorystycznym praktykom bezpieczeństwa każda firma może łatwo złagodzić te ataki, zanim zaatakują.

Wszystko, co musisz wiedzieć o oprogramowaniu ransomware NetWalker

NetWalker sprawia, że ​​wszystkie pliki stają się niedostępne, więc jak możesz chronić swoją firmę?

O autorze