Imaginez rédiger un e-mail professionnel crucial et perdre soudainement l'accès à tous vos outils. Ou voir un message exigeant des bitcoins pour déverrouiller votre ordinateur. Les attaques de ransomware suivent toujours ce schéma : les cybercriminels fournissent des instructions pour récupérer l'accès... après paiement d'une rançon substantielle.
Le ransomware Maze, particulièrement destructeur, a frappé Cognizant. Voici une analyse experte de cette menace et des mesures pour vous en prémunir.
Le ransomware Maze est une variante Windows propagée via e-mails de phishing et kits d'exploitation. Il exige des rançons en bitcoins ou cryptomonnaies pour déchiffrer et restituer les données volées.
Les e-mails frauduleux arborent des objets anodins comme « Votre facture Verizon est prête » ou « Colis en attente », envoyés depuis des domaines malveillants. Maze opère sur un modèle d'affiliation : des développeurs partagent les profits avec des groupes infiltrant les réseaux d'entreprise.
Pour contrer ces attaques, explorons les leçons de l'incident Cognizant.
En avril 2020, Cognizant, géant du Fortune 500 et leader des services IT mondiaux, a subi une attaque Maze dévastatrice, causant des interruptions massives.
La suppression de répertoires internes a perturbé les communications : les équipes commerciales ont perdu contact avec clients et collègues.
Survenue pendant la transition au télétravail due à la pandémie de COVID-19, l'attaque a compliqué les choses. Selon CRN, les employés ont dû improviser pour maintenir les échanges.
« Personne ne souhaite affronter un ransomware », a déclaré Brian Humphries, PDG de Cognizant. « La clé réside dans une gestion professionnelle et mature. »
Cognizant a mobilisé experts en cybersécurité, équipes internes, alerté les autorités et informé les clients des indicateurs de compromission (IOC). Malgré cela, les pertes de revenus ont atteint 50 à 70 millions de dollars.
Maze innove avec la « double extorsion » : chiffrement des données plus menace de publication si rançon non payée.
Cette tactique crée une copie des données volées pour faire pression. Le groupe TA2101 publie même un site listant les victimes récalcitrantes et fuitant des échantillons de données.
La mitigation repose sur une approche multicouche adaptée à votre organisation. Voici les meilleures pratiques validées par les experts.
Autorisez uniquement les logiciels préapprouvés, bloquant par défaut les exécutables suspects. Cela stoppe les malwares à la source.
Appliquez les patches promptly selon la gravité :
Désactivez-les par défaut ou évaluez-les scrupuleusement : vecteurs courants de malwares.
Ajoutez des sécurités pour protéger contre l'exploitation, surtout pour Java, porte d'entrée privilégiée.
Appliquez le principe du moindre privilège (PoLP) pour limiter les dommages.
Priorisez les vulnérabilités critiques (48h) et utilisez uniquement des OS supportés.
Ajoutez une couche essentielle pour les accès sensibles.
Maintenez-les à jour, bloquez pop-ups/extensions inconnues. Vérifiez HTTPS et URLs légitimes.
Voie d'entrée principale de Maze. Activez MFA, formez le personnel, investissez dans des filtres avancés.
Intégrez-les à votre plan de reprise. Automatisez et protégez-les par mots de passe forts.
Analysez logs Windows pour traquer compromissions post-attaque.
Cognizant a surmonté l'attaque grâce à des experts, minimisant les pertes. Cet cas illustre la dangerosité des ransomwares.
Avec vigilance et bonnes pratiques, toute entreprise peut se protéger efficacement.
[]