Imaginez que vous écriviez un e-mail professionnel important et que vous perdiez soudainement l'accès à tout. Ou recevoir un message d'erreur vicieux demandant des bitcoins pour décrypter votre ordinateur. Il peut y avoir de nombreux scénarios différents, mais une chose reste la même pour toutes les attaques de ransomware :les attaquants fournissent toujours des instructions sur la façon de récupérer votre accès. Bien sûr, le seul problème est que vous devez d'abord fournir une forte rançon à l'avance.
Un type dévastateur de ransomware connu sous le nom de "Maze" fait le tour du monde de la cybersécurité. Voici ce que vous devez savoir sur le rançongiciel Cognizant Maze.
Le rançongiciel Maze se présente sous la forme d'une souche Windows, distribuée par le biais de spams et de kits d'exploitation exigeant de grosses quantités de bitcoins ou de crypto-monnaie en échange du déchiffrement et de la récupération des données volées.
Les e-mails arrivent avec des lignes d'objet apparemment innocentes telles que "Votre facture Verizon est prête à être consultée" ou "Livraison de colis manquée", mais proviennent de domaines malveillants. La rumeur veut que Maze soit un rançongiciel basé sur des affiliations opérant via un réseau de développeurs qui partagent les bénéfices avec différents groupes qui s'infiltrent dans les réseaux d'entreprise.
Pour trouver des stratégies pour protéger et limiter l'exposition à des attaques similaires, nous devrions réfléchir au labyrinthe cognizant...
En avril 2020, Cognizant, une entreprise du Fortune 500 et l'un des plus grands fournisseurs mondiaux de services informatiques, a été victime de l'attaque vicieuse de Maze qui a provoqué d'immenses interruptions de service à tous les niveaux.
En raison de la suppression des répertoires internes effectuée par cette attaque, plusieurs employés de Cognizant ont souffert de perturbations de communication, et l'équipe de vente s'est retrouvée déconcertée sans aucun moyen de communiquer avec les clients et vice versa.
Le fait que la violation de données de Cognizant se soit produite alors que l'entreprise transférait ses employés vers le travail à distance en raison de la pandémie de coronavirus a rendu la tâche plus difficile. Selon le rapport de CRN, les employés ont été contraints de trouver d'autres moyens de contacter leurs collègues en raison de la perte d'accès aux e-mails.
"Personne ne veut faire face à une attaque de ransomware", a déclaré le PDG de Cognizant, Brian Humphries. «Personnellement, je ne crois pas que quiconque y soit vraiment insensible, mais la différence réside dans la façon dont vous le gérez. Et nous avons essayé de le gérer avec professionnalisme et maturité. »
L'entreprise a rapidement déstabilisé la situation en faisant appel à des experts de premier plan en cybersécurité et à leurs équipes internes de sécurité informatique. La cyberattaque de Cognizant a également été signalée aux forces de l'ordre et les clients de Cognizant ont reçu des mises à jour constantes sur les indicateurs de compromission (IOC).
Cependant, l'entreprise a subi des dommages financiers importants en raison de l'attaque, amassant jusqu'à 50 à 70 millions de dollars de perte de revenus.
Comme si être affecté par Ransomware n'était pas assez grave, les inventeurs de l'attaque Maze ont ajouté une touche supplémentaire aux victimes. Une tactique malveillante connue sous le nom de "double extorsion" est introduite avec une attaque Maze où les victimes sont menacées d'une fuite de leurs données compromises si elles refusent de coopérer et de répondre aux demandes de ransomware.
Ce rançongiciel notoire est appelé à juste titre une "double menace" car, en plus de fermer l'accès au réseau pour les employés, il crée également une réplique de l'ensemble des données du réseau et l'utilise pour exploiter et inciter les victimes à payer la rançon.
Malheureusement, les tactiques de pression des créateurs de Maze ne s'arrêtent pas là. Des recherches récentes ont indiqué que TA2101, un groupe derrière le rançongiciel Maze, a maintenant publié un site Web dédié qui répertorie toutes leurs victimes non coopératives et publie fréquemment leurs échantillons de données volés en guise de punition.
Atténuer et éliminer les risques de ransomware est un processus à multiples facettes où diverses stratégies sont combinées et personnalisées en fonction de chaque cas d'utilisateur et du profil de risque d'une organisation individuelle. Voici les stratégies les plus populaires qui peuvent aider à arrêter une attaque de labyrinthe dans son élan.
La liste blanche d'applications est une technique proactive d'atténuation des menaces qui permet uniquement aux programmes ou logiciels pré-autorisés de s'exécuter tandis que tous les autres sont bloqués par défaut.
Cette technique aide énormément à identifier les tentatives illégales d'exécution de code malveillant et aide à empêcher les installations non autorisées.
Les failles de sécurité doivent être corrigées dès qu'elles sont découvertes pour empêcher toute manipulation et abus par des attaquants. Voici les délais recommandés pour appliquer rapidement les correctifs en fonction de la gravité des failles :
Les macros sont utilisées pour automatiser les tâches de routine, mais peuvent parfois être une cible facile pour transporter du code malveillant dans un système ou un ordinateur une fois activées. La meilleure approche consiste à les garder désactivés si possible ou à les faire évaluer et réviser avant de les utiliser.
Le durcissement des applications est une méthode de protection de vos applications et d'application de couches de sécurité supplémentaires pour les protéger contre le vol. Les applications Java sont très sujettes aux failles de sécurité et peuvent être utilisées par les pirates comme points d'entrée. Il est impératif de protéger votre réseau en utilisant cette méthodologie au niveau de l'application.
Les privilèges administratifs doivent être manipulés avec beaucoup de prudence car un compte administrateur a accès à tout. Utilisez toujours le principe du moindre privilège (POLP) lors de la configuration des accès et des autorisations, car cela peut être un facteur essentiel pour atténuer le rançongiciel Maze ou toute cyberattaque d'ailleurs.
En règle générale, toutes les applications, ordinateurs et périphériques réseau présentant des vulnérabilités à risque extrême doivent être corrigés dans les 48 heures. Il est également essentiel de s'assurer que seules les dernières versions des systèmes d'exploitation sont utilisées et d'éviter à tout prix les versions non prises en charge.
L'authentification multifacteur (MFA) ajoute une couche de sécurité supplémentaire, car plusieurs appareils autorisés sont nécessaires pour se connecter à des solutions d'accès à distance telles que les services bancaires en ligne ou toute autre action privilégiée nécessitant l'utilisation d'informations sensibles.
Il est important de vous assurer que votre navigateur est toujours mis à jour, que les annonces pop-up sont bloquées et que les paramètres de votre navigateur empêchent l'installation d'extensions inconnues.
Vérifiez si les sites Web que vous visitez sont légitimes en vérifiant la barre d'adresse. N'oubliez pas que HTTPS est sécurisé alors que HTTP l'est beaucoup moins.
La principale méthode d'entrée pour le ransomware Maze est par e-mail.
Implémentez une authentification multifacteur pour ajouter une couche de sécurité supplémentaire et définir des dates d'expiration pour les mots de passe. En outre, vous et votre personnel, formez-vous à ne jamais ouvrir d'e-mails provenant de sources inconnues ou, du moins, à ne rien télécharger comme des pièces jointes suspectes. Investir dans une solution de protection des e-mails garantit la transmission sécurisée de vos e-mails.
Les sauvegardes de données font partie intégrante d'un plan de reprise après sinistre. En cas d'attaque, en restaurant des sauvegardes réussies, vous pouvez facilement déchiffrer les données sauvegardées d'origine qui ont été chiffrées par les pirates. C'est une bonne idée de configurer des sauvegardes automatisées et de créer des mots de passe uniques et complexes pour vos employés.
Enfin, si l'un de vos points de terminaison réseau a été affecté par le rançongiciel Maze, vous devez rapidement identifier toutes les informations d'identification utilisées. Supposez toujours que tous les terminaux étaient disponibles et/ou compromis par les pirates. Le journal des événements Windows sera utile pour l'analyse des connexions post-compromis.
La violation de Cognizant a obligé le fournisseur de solutions informatiques à se démener pour se remettre d'immenses pertes financières et de données. Cependant, avec l'aide des meilleurs experts en cybersécurité, l'entreprise s'est rapidement remise de cette attaque vicieuse.
Cet épisode a prouvé à quel point les attaques de rançongiciels peuvent être dangereuses.
Outre le labyrinthe, il existe une pléthore d'autres attaques de rançongiciels menées quotidiennement par des acteurs malveillants malveillants. La bonne nouvelle est qu'avec une diligence raisonnable et des pratiques de sécurité strictes en place, toute entreprise peut facilement atténuer ces attaques avant qu'elles ne frappent.