Was Sie über den Cognizant Maze Ransomware Attack wissen müssen
Stellen Sie sich vor, Sie schreiben eine wichtige geschäftliche E-Mail und verlieren plötzlich den Zugriff auf alles. Oder Sie erhalten eine bösartige Fehlermeldung, in der Bitcoin zum Entschlüsseln Ihres Computers angefordert wird. Es kann viele verschiedene Szenarien geben, aber eines bleibt bei allen Ransomware-Angriffen gleich: Die Angreifer geben immer Anweisungen, wie Sie Ihren Zugriff zurückerhalten können. Der einzige Haken ist natürlich, dass Sie zuerst eine Menge Lösegeld im Voraus bereitstellen müssen.
Eine verheerende Art von Ransomware, bekannt als "Maze", macht die Runde in der Welt der Cybersicherheit. Folgendes müssen Sie über Cognizant Maze Ransomware wissen:
Was ist die Maze Ransomware?
Maze Ransomware wird in Form einer Windows-Sorte angeboten, die über Spam-E-Mails verteilt wird und Kits ausnutzt, die im Gegenzug für die Entschlüsselung und Wiederherstellung gestohlener Daten hohe Mengen an Bitcoin oder Kryptowährung erfordern.
Die E-Mails kommen mit scheinbar unschuldigen Betreffzeilen wie "Ihre Verizon-Rechnung kann angezeigt werden" oder "Verpasste Paketzustellung" an, stammen jedoch aus böswilligen Domänen. Gerüchten zufolge handelt es sich bei Maze um Ransomware auf Affiliate-Basis, die über ein Netzwerk von Entwicklern betrieben wird, die Gewinne mit verschiedenen Gruppen teilen, die in Unternehmensnetzwerke eindringen.
Um Strategien zum Schutz und zur Begrenzung der Exposition vor ähnlichen Angriffen zu entwickeln, sollten wir über das Cognizant Maze nachdenken …
Der Cognizant Maze Ransomware-Angriff
Im April 2020 wurde Cognizant, ein Fortune 500-Unternehmen und einer der weltweit größten Anbieter von IT-Diensten, Opfer des bösartigen Maze-Angriffs, der auf breiter Front immense Serviceunterbrechungen verursachte.
Aufgrund der Löschung interner Verzeichnisse, die durch diesen Angriff ausgeführt wurden, litten mehrere Cognizant-Mitarbeiter unter Kommunikationsstörungen, und das Verkaufsteam war verblüfft, keine Möglichkeit zu haben, mit Kunden zu kommunizieren und umgekehrt.
Die Tatsache, dass der Cognizant-Datenverstoß auftrat, als das Unternehmen aufgrund der Coronavirus-Pandemie Mitarbeiter auf Remote-Arbeit umstellte, machte es schwieriger. Laut dem Bericht von CRN mussten die Mitarbeiter aufgrund des verlorenen E-Mail-Zugriffs andere Mittel finden, um Mitarbeiter zu kontaktieren.
"Niemand möchte mit einem Ransomware-Angriff fertig werden", sagte Brian Humphries, CEO von Cognizant. „Ich persönlich glaube nicht, dass jemand wirklich undurchlässig dafür ist, aber der Unterschied besteht darin, wie Sie damit umgehen. Und wir haben versucht, es professionell und ausgereift zu verwalten. “
Das Unternehmen destabilisierte die Situation schnell, indem es die Hilfe führender Cybersicherheitsexperten und ihrer internen IT-Sicherheitsteams in Anspruch nahm. Der Cognizant-Cyberangriff wurde auch den Strafverfolgungsbehörden gemeldet, und Cognizant-Kunden wurden ständig über die Indikatoren für Kompromisse (IOC) informiert.
Das Unternehmen hat jedoch durch den Angriff erhebliche finanzielle Schäden erlitten, die zu einem Umsatzverlust von satten 50 bis 70 Millionen US-Dollar geführt haben .
Warum ist Maze Ransomware eine doppelte Bedrohung?
Als ob es nicht schlimm genug wäre, von Ransomware betroffen zu sein, warfen die Erfinder des Labyrinth-Angriffs den Opfern eine zusätzliche Wendung zu. Eine böswillige Taktik, die als „doppelte Erpressung“ bekannt ist, wird mit einem Labyrinth-Angriff eingeführt, bei dem den Opfern ein Leck ihrer kompromittierten Daten droht, wenn sie sich weigern, zusammenzuarbeiten und die Ransomware-Anforderungen zu erfüllen.
Diese berüchtigte Ransomware wird zu Recht als „doppelte Bedrohung“ bezeichnet, da sie nicht nur den Netzwerkzugriff für Mitarbeiter sperrt, sondern auch eine Replik der gesamten Netzwerkdaten erstellt und diese verwendet, um die Opfer auszunutzen und zur Erfüllung des Lösegelds zu verleiten.
Leider endet die Drucktaktik der Maze-Schöpfer hier nicht. Jüngste Untersuchungen haben ergeben, dass TA2101, eine Gruppe hinter der Maze-Ransomware, jetzt eine spezielle Website veröffentlicht hat, auf der alle nicht kooperativen Opfer aufgelistet sind und die gestohlenen Datenproben häufig als Bestrafung veröffentlicht werden.
So begrenzen Sie Labyrinth-Ransomware-Vorfälle
Das Reduzieren und Eliminieren der Risiken von Ransomware ist ein facettenreicher Prozess, bei dem verschiedene Strategien basierend auf jedem Benutzerfall und dem Risikoprofil einer einzelnen Organisation kombiniert und angepasst werden. Hier sind die beliebtesten Strategien, mit denen Sie einen Labyrinth-Angriff direkt aufhalten können.
Erzwingen Sie die Whitelist für Anwendungen
Application Whitelisting ist eine proaktive Bedrohungsminderungstechnik, mit der nur vorautorisierte Programme oder Software ausgeführt werden können, während alle anderen standardmäßig blockiert sind.
Diese Technik hilft immens bei der Identifizierung illegaler Versuche, bösartigen Code auszuführen, und hilft dabei, nicht autorisierte Installationen zu verhindern.
Patch-Anwendungen und Sicherheitslücken
Sicherheitslücken sollten behoben werden, sobald sie entdeckt werden, um Manipulationen und Missbrauch durch Angreifer zu verhindern. Hier sind die empfohlenen Zeitrahmen für das sofortige Anwenden von Patches, basierend auf der Schwere der Fehler:
- Extremes Risiko : Innerhalb von 48 Stunden nach Veröffentlichung eines Patches.
- Hohes Risiko : Innerhalb von zwei Wochen nach Veröffentlichung eines Patches.
- Mäßiges oder geringes Risiko : Innerhalb eines Monats nach Veröffentlichung eines Patches.
Konfigurieren Sie die Microsoft Office-Makroeinstellungen
Makros werden zur Automatisierung von Routineaufgaben verwendet, können jedoch manchmal ein einfaches Ziel für den Transport von Schadcode in ein System oder einen Computer sein, sobald diese aktiviert sind. Der beste Ansatz besteht darin, sie nach Möglichkeit deaktiviert zu lassen oder sie vor ihrer Verwendung bewerten und überprüfen zu lassen.
Anwendungshärtung anwenden
Application Hardening ist eine Methode, um Ihre Anwendungen abzuschirmen und zusätzliche Sicherheitsebenen anzuwenden, um sie vor Diebstahl zu schützen. Java-Anwendungen sind sehr anfällig für Sicherheitslücken und können von Bedrohungsakteuren als Einstiegspunkte verwendet werden. Es ist unbedingt erforderlich, Ihr Netzwerk durch Anwendung dieser Methode auf Anwendungsebene zu schützen.
Administratorrechte einschränken
Administratorrechte sollten mit großer Vorsicht behandelt werden, da ein Administratorkonto Zugriff auf alles hat. Verwenden Sie beim Einrichten von Zugriffen und Berechtigungen immer das Prinzip der geringsten Berechtigungen (POLP), da dies ein wesentlicher Faktor für die Abschwächung der Maze-Ransomware oder eines Cyberangriffs sein kann.
Patch-Betriebssysteme
Als Faustregel gilt, dass alle Anwendungen, Computer und Netzwerkgeräte mit extremen Sicherheitslücken innerhalb von 48 Stunden gepatcht werden sollten. Es ist auch wichtig sicherzustellen, dass nur die neuesten Versionen von Betriebssystemen verwendet werden, und nicht unterstützte Versionen um jeden Preis zu vermeiden.
Implementieren Sie die Multi-Faktor-Authentifizierung
Die Multi-Factor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene, da mehrere autorisierte Geräte erforderlich sind, um sich bei RAS-Lösungen wie Online-Banking oder anderen privilegierten Aktionen anzumelden, für die vertrauliche Informationen erforderlich sind.
Sichern Sie Ihre Browser
Es ist wichtig sicherzustellen, dass Ihr Browser immer aktualisiert wird, Popup-Anzeigen blockiert werden und Ihre Browsereinstellungen die Installation unbekannter Erweiterungen verhindern.
Überprüfen Sie anhand der Adressleiste, ob die von Ihnen besuchten Websites legitim sind. Denken Sie daran, dass HTTPS sicher ist, während HTTP erheblich weniger sicher ist.
E-Mail-Sicherheit einsetzen
Die Haupteingabemethode für die Maze-Ransomware erfolgt per E-Mail.
Implementieren Sie die Multi-Faktor-Authentifizierung, um eine zusätzliche Sicherheitsebene hinzuzufügen und Ablaufdaten für Kennwörter festzulegen. Trainieren Sie sich und Ihre Mitarbeiter auch darin, niemals E-Mails aus unbekannten Quellen zu öffnen oder zumindest keine verdächtigen Anhänge herunterzuladen. Die Investition in eine E-Mail-Schutzlösung gewährleistet die sichere Übertragung Ihrer E-Mails.
Erstellen Sie regelmäßige Backups
Datensicherungen sind ein wesentlicher Bestandteil eines Notfallwiederherstellungsplans. Im Falle eines Angriffs können Sie durch Wiederherstellen erfolgreicher Sicherungen die ursprünglichen gesicherten Daten, die von den Hackern verschlüsselt wurden, problemlos entschlüsseln. Es ist eine gute Idee, automatisierte Sicherungen einzurichten und eindeutige und komplexe Kennwörter für Ihre Mitarbeiter zu erstellen.
Achten Sie auf betroffene Endpunkte und Anmeldeinformationen
Wenn einer Ihrer Netzwerkendpunkte von der Maze-Ransomware betroffen ist, sollten Sie alle darauf verwendeten Anmeldeinformationen schnell identifizieren. Gehen Sie immer davon aus, dass alle Endpunkte von den Hackern verfügbar und / oder kompromittiert wurden. Das Windows-Ereignisprotokoll ist nützlich für die Analyse von Anmeldungen nach einem Kompromiss.
Benommen über den Cognizant Maze Attack?
Aufgrund des Verstoßes gegen Cognizant bemühte sich der IT-Lösungsanbieter, sich von immensen finanziellen und Datenverlusten zu erholen. Mit Hilfe von Top-Cybersicherheitsexperten konnte sich das Unternehmen jedoch schnell von diesem bösartigen Angriff erholen.
Diese Episode hat gezeigt, wie gefährlich Ransomware-Angriffe sein können.
Neben dem Labyrinth gibt es eine Vielzahl weiterer Ransomware-Angriffe, die täglich von bösartigen Bedrohungsakteuren ausgeführt werden. Die gute Nachricht ist, dass jedes Unternehmen mit der gebotenen Sorgfalt und den strengen Sicherheitspraktiken diese Angriffe problemlos abwehren kann, bevor sie zuschlagen.