Ce que vous devez savoir sur l’attaque du ransomware Cognizant Maze
Imaginez écrire un e-mail professionnel important et perdre soudainement l'accès à tout. Ou recevoir un message d'erreur vicieux demandant du bitcoin pour déchiffrer votre ordinateur. Il peut y avoir de nombreux scénarios différents, mais une chose reste la même pour toutes les attaques de ransomware: les attaquants fournissent toujours des instructions sur la façon de récupérer votre accès. Bien sûr, le seul hic, c'est que vous devez d'abord fournir un montant élevé de rançon à l'avance.
Un type dévastateur de ransomware connu sous le nom de «Labyrinthe» fait le tour du monde de la cybersécurité. Voici ce que vous devez savoir sur le ransomware Cognizant Maze.
Qu'est-ce que le Maze Ransomware?
Le ransomware Maze se présente sous la forme d'une souche Windows, distribuée via des e-mails de spam et des kits d'exploitation exigeant de lourdes quantités de bitcoin ou de crypto-monnaie en échange du décryptage et de la récupération des données volées.
Les e-mails arrivent avec des lignes d'objet apparemment innocentes telles que «Votre facture Verizon est prête à être consultée» ou «Livraison de colis manquée», mais proviennent de domaines malveillants. La rumeur veut que Maze est un ransomware basé sur les affiliés fonctionnant via un réseau de développeurs qui partagent les bénéfices avec différents groupes qui s'infiltrent dans les réseaux d'entreprise.
Pour proposer des stratégies pour protéger et limiter l'exposition à des attaques similaires, nous devons réfléchir au labyrinthe cognitif …
L'attaque du ransomware Cognizant Maze
En avril 2020, Cognizant, une société Fortune 500 et l'un des plus grands fournisseurs mondiaux de services informatiques, a été victime de l'attaque vicieuse Maze qui a causé d'immenses perturbations de service à tous les niveaux.
En raison de la suppression des répertoires internes effectuée par cette attaque, plusieurs employés de Cognizant ont souffert de perturbations de la communication, et l'équipe de vente a été laissée perplexe sans aucun moyen de communiquer avec les clients et vice versa.
Le fait que la violation de données Cognizant se soit produite lors de la transition des employés vers le travail à distance en raison de la pandémie de coronavirus a rendu la situation plus difficile. Selon le rapport du CRN , les employés ont été contraints de trouver d'autres moyens de contacter des collègues en raison de la perte d'accès aux e-mails.
«Personne ne veut être confronté à une attaque de ransomware», a déclaré le PDG de Cognizant, Brian Humphries. «Personnellement, je ne crois pas que quiconque y soit vraiment insensible, mais la différence réside dans la façon dont vous le gérez. Et nous avons essayé de le gérer professionnellement et avec maturité. »
L'entreprise a rapidement déstabilisé la situation en faisant appel à des experts de premier plan en cybersécurité et à leurs équipes internes de sécurité informatique. La cyberattaque de Cognizant a également été signalée aux forces de l'ordre et les clients de Cognizant ont reçu des mises à jour constantes sur les indicateurs de compromis (IOC).
Cependant, la société a subi des dommages financiers importants en raison de l'attaque, amassant jusqu'à 50 à 70 millions de dollars de pertes de revenus .
Pourquoi Maze Ransomware est-il une double menace?
Comme si être affecté par Ransomware n'était pas assez grave, les inventeurs de l'attaque Maze ont lancé une torsion supplémentaire pour les victimes. Une tactique malveillante connue sous le nom de «double extorsion» est introduite avec une attaque Maze où les victimes sont menacées d'une fuite de leurs données compromises si elles refusent de coopérer et de répondre aux demandes de ransomware.
Ce ransomware notoire est appelé à juste titre une «double menace» car, en plus de fermer l'accès au réseau pour les employés, il crée également une réplique de l'ensemble des données du réseau et l'utilise pour exploiter et inciter les victimes à répondre à la rançon.
Malheureusement, les tactiques de pression des créateurs de Maze ne s'arrêtent pas là. Des recherches récentes ont indiqué que TA2101, un groupe derrière le ransomware Maze, a maintenant publié un site Web dédié qui répertorie toutes leurs victimes non coopératives et publie fréquemment leurs échantillons de données volés comme une forme de punition.
Comment limiter les incidents Maze Ransomware
Atténuer et éliminer les risques liés aux ransomwares est un processus à multiples facettes dans lequel diverses stratégies sont combinées et personnalisées en fonction de chaque cas d'utilisateur et du profil de risque d'une organisation individuelle. Voici les stratégies les plus populaires qui peuvent aider à arrêter une attaque Maze dans son élan.
Appliquer la liste blanche des applications
La liste blanche des applications est une technique proactive d'atténuation des menaces qui permet uniquement aux programmes ou logiciels préautorisés de s'exécuter tandis que tous les autres sont bloqués par défaut.
Cette technique aide énormément à identifier les tentatives illégales d'exécuter du code malveillant et aide à empêcher les installations non autorisées.
Applications de correctifs et failles de sécurité
Les failles de sécurité doivent être corrigées dès qu'elles sont découvertes pour empêcher la manipulation et les abus de la part des attaquants. Voici les délais recommandés pour appliquer rapidement les correctifs en fonction de la gravité des failles:
- Risque extrême : dans les 48 heures suivant la publication d'un patch.
- Risque élevé : dans les deux semaines suivant la publication d'un patch.
- Risque modéré ou faible : dans le mois suivant la publication d'un patch.
Configurer les paramètres des macros Microsoft Office
Les macros sont utilisées pour automatiser les tâches de routine, mais peuvent parfois être une cible facile pour transporter du code malveillant dans un système ou un ordinateur une fois activées. La meilleure approche est de les garder désactivés si possible ou de les faire évaluer et réviser avant de les utiliser.
Utiliser le durcissement des applications
Le durcissement des applications est une méthode pour protéger vos applications et appliquer des couches de sécurité supplémentaires pour les protéger contre le vol. Les applications Java sont très sujettes aux vulnérabilités de sécurité et peuvent être utilisées par les acteurs de la menace comme points d'entrée.Il est impératif de protéger votre réseau en utilisant cette méthodologie au niveau de l'application.
Restreindre les privilèges administratifs
Les privilèges administratifs doivent être traités avec beaucoup de prudence, car un compte administrateur a accès à tout. Utilisez toujours le principe du moindre privilège (POLP) lors de la configuration des accès et des autorisations, car cela peut être un facteur essentiel pour atténuer le ransomware Maze ou toute cyberattaque d'ailleurs.
Corriger les systèmes d'exploitation
En règle générale, toutes les applications, ordinateurs et périphériques réseau présentant des vulnérabilités à risque extrême doivent être corrigés dans les 48 heures. Il est également essentiel de s'assurer que seules les dernières versions des systèmes d'exploitation sont utilisées et d'éviter à tout prix les versions non prises en charge.
Mettre en œuvre l'authentification multifacteur
L'authentification multifacteur (MFA) ajoute une couche de sécurité supplémentaire, car plusieurs appareils autorisés sont nécessaires pour se connecter à des solutions d'accès à distance telles que les services bancaires en ligne ou toute autre action privilégiée nécessitant l'utilisation d'informations sensibles.
Sécurisez vos navigateurs
Il est important de vous assurer que votre navigateur est toujours mis à jour, que les publicités pop-up sont bloquées et que les paramètres de votre navigateur empêchent l'installation d'extensions inconnues.
Vérifiez si les sites Web que vous visitez sont légitimes en vérifiant la barre d'adresse. N'oubliez pas que HTTPS est sécurisé tandis que HTTP l'est beaucoup moins.
Employer la sécurité des e-mails
La principale méthode d'entrée pour le ransomware Maze est par e-mail.
Mettez en œuvre l'authentification multifacteur pour ajouter une couche de sécurité supplémentaire et définir des dates d'expiration pour les mots de passe. En outre, entraînez-vous et votre personnel à ne jamais ouvrir d'e-mails provenant de sources inconnues ou du moins à ne rien télécharger comme des pièces jointes suspectes. Investir dans une solution de protection des e-mails garantit la transmission sécurisée de vos e-mails.
Faire des sauvegardes régulières
Les sauvegardes de données font partie intégrante d'un plan de reprise après sinistre. En cas d'attaque, en restaurant les sauvegardes réussies, vous pouvez facilement décrypter les données sauvegardées d'origine qui ont été cryptées par les pirates. C'est une bonne idée de mettre en place des sauvegardes automatisées et de créer des mots de passe uniques et complexes pour vos employés.
Faites attention aux points de terminaison et aux informations d'identification concernés
Enfin et surtout, si l'un de vos points de terminaison réseau a été affecté par le ransomware Maze, vous devez rapidement identifier toutes les informations d'identification utilisées sur eux. Supposez toujours que tous les points de terminaison étaient disponibles et / ou compromis par les pirates. Le journal des événements Windows sera utile pour l'analyse des ouvertures de session après compromission.
Étourdi par l'attaque du labyrinthe cognitif?
La faille Cognizant a laissé le fournisseur de solutions informatiques se démener pour récupérer d'immenses pertes financières et de données. Cependant, avec l'aide des meilleurs experts en cybersécurité, l'entreprise s'est rapidement remise de cette attaque vicieuse.
Cet épisode a prouvé à quel point les attaques de ransomwares peuvent être dangereuses.
Outre le labyrinthe, il existe une pléthore d'autres attaques de ransomwares menées quotidiennement par des acteurs malveillants vicieux. La bonne nouvelle, c'est qu'avec une diligence raisonnable et des pratiques de sécurité strictes, toute entreprise peut facilement atténuer ces attaques avant qu'elles ne frappent.