Что нужно знать об атаке программ-вымогателей Cognizant Maze

Представьте себе, что вы пишете важное рабочее письмо и внезапно теряете доступ ко всему. Или получение сообщения об ошибке с требованием биткойна для расшифровки вашего компьютера. Может быть много разных сценариев, но одно остается неизменным для всех атак программ-вымогателей - злоумышленники всегда предоставляют инструкции о том, как вернуть вам доступ. Конечно, единственная загвоздка в том, что вы должны сначала предоставить изрядную сумму выкупа.

Разрушительный тип программ-вымогателей, известный как «Лабиринт», набирает обороты в мире кибербезопасности. Вот что вам нужно знать о программе-вымогателе Cognizant Maze.

Что такое программа-вымогатель Maze?

Программа-вымогатель Maze представляет собой штамм Windows, распространяемый через спам-сообщения и наборы эксплойтов. требовать огромные суммы биткойнов или криптовалюты в обмен на расшифровку и восстановление украденного данные.

Письма приходят с, казалось бы, невинными темами, такими как «Ваш счет Verizon готов к просмотру» или «Пропущенная доставка посылки», но отправляются через вредоносные домены. Ходят слухи, что Maze - это партнерская программа-вымогатель, работающая через сеть разработчиков, которые делятся прибылью с различными группами, проникающими в корпоративные сети.

Чтобы разработать стратегии защиты и ограничения воздействия подобных атак, нам следует подумать о Cognizant Maze...

Атака программ-вымогателей Cognizant Maze

В апреле 2020 года Cognizant, компания из списка Fortune 500 и один из крупнейших мировых поставщиков ИТ-услуг. services, стал жертвой злобной атаки Maze, которая привела к огромным сбоям в обслуживании доска.

Из-за удаления внутренних каталогов, выполненного этой атакой, несколько сотрудников Cognizant пострадали от перебои в общении, и отдел продаж остался в недоумении, не имея возможности общаться с клиентами и пороками. наоборот.

Тот факт, что утечка данных Cognizant произошла, когда компания переводила сотрудников на работу удаленно из-за пандемии коронавируса, усложнила задачу. Согласно отчету CRN, сотрудники были вынуждены искать другие способы связи с коллегами из-за потери доступа к электронной почте.

«Никто не хочет подвергаться атаке программ-вымогателей», - сказал генеральный директор Cognizant Брайан Хамфрис. «Я лично не верю, что кто-то действительно невосприимчив к этому, но разница в том, как вы справляетесь с этим. И мы старались делать это профессионально и зрело ».

Компания быстро дестабилизировала ситуацию, заручившись помощью ведущих экспертов по кибербезопасности и их внутренних групп ИТ-безопасности. О кибератаке Cognizant также было сообщено в правоохранительные органы, а клиентам Cognizant постоянно предоставлялись обновленные сведения об индикаторах компрометации (IOC).

Однако компания понесла значительный финансовый ущерб из-за атаки, накопив колоссальные убытки. $ 50-70 млн упущенной выгоды.

Почему программа-вымогатель Maze представляет собой двойную угрозу?

Как будто попадание под воздействие программ-вымогателей было недостаточно, изобретатели атаки Лабиринта добавили жертвам дополнительный поворот, с которым они могли бороться. Злонамеренная тактика, известная как «двойное вымогательство», вводится с атакой в ​​лабиринте, когда жертвы им угрожает утечка их скомпрометированных данных, если они откажутся сотрудничать и встретиться с программой-вымогателем требования.

Эту печально известную программу-вымогатель справедливо называют «двойной угрозой», потому что, помимо отключения доступа к сети для сотрудников, он также создает реплику всех сетевых данных и использует их для эксплуатации и соблазнения жертв к встрече с выкуп.

К сожалению, тактика давления со стороны создателей Maze на этом не заканчивается. Недавнее исследование показало, что TA2101, группа, стоящая за вымогателем Maze, теперь опубликовала специальный веб-сайт. который перечисляет всех их не сотрудничающих жертв и часто публикует их украденные образцы данных как форму наказание.

Как ограничить количество инцидентов с программами-вымогателями Maze

Снижение и устранение рисков программ-вымогателей - это многогранный процесс, в котором различные стратегии комбинируются и настраиваются на основе каждого пользовательского случая и профиля риска отдельного человека. организация. Вот самые популярные стратегии, которые могут помочь остановить атаку лабиринта прямо на ее пути.

Внесение в белый список приложений

Белый список приложений - это упреждающий метод снижения угроз, который позволяет запускать только предварительно авторизованные программы или программное обеспечение, в то время как все остальные по умолчанию заблокированы.

Этот метод очень помогает в выявлении незаконных попыток выполнения вредоносного кода и помогает предотвратить несанкционированные установки.

Приложения исправлений и недостатки безопасности

Недостатки безопасности следует устранять сразу же после их обнаружения, чтобы предотвратить манипуляции и злоупотребления со стороны злоумышленников. Вот рекомендуемые сроки для своевременного применения исправлений в зависимости от серьезности недостатков:

• Чрезвычайный риск: в течение 48 часов после выпуска патча.
• Высокий риск: в течение двух недель после выпуска патча.
• Средний или низкий риск: в течение одного месяца после выпуска патча.

Настройка параметров макроса Microsoft Office

Макросы используются для автоматизации рутинных задач, но иногда могут быть легкой целью для переноса вредоносного кода в систему или компьютер после включения. Лучше всего держать их отключенными, если это возможно, или дать им оценку и проверку перед использованием.

Использовать усиление защиты приложений

Укрепление приложений - это метод защиты ваших приложений и применения дополнительных уровней безопасности для защиты их от кражи. Приложения Java очень подвержены уязвимостям безопасности и могут использоваться злоумышленниками в качестве точек входа. Крайне важно защитить вашу сеть, используя эту методологию на уровне приложений.

Ограничить административные привилегии

С административными привилегиями следует обращаться с особой осторожностью, поскольку учетная запись администратора имеет доступ ко всему. Всегда используйте принцип наименьших привилегий (POLP) при настройке доступа и разрешений, поскольку это может быть неотъемлемым фактором в борьбе с программами-вымогателями Maze или любой кибератакой в ​​этом отношении.

Патч для операционных систем

Как правило, любые приложения, компьютеры и сетевые устройства с уязвимостями повышенного риска должны быть исправлены в течение 48 часов. Также важно убедиться, что используются только последние версии операционных систем, и любой ценой избегать неподдерживаемых версий.

Внедрить многофакторную аутентификацию

Многофакторная аутентификация (MFA) добавляет дополнительный уровень безопасности, поскольку для входа в систему требуется несколько авторизованных устройств. к решениям удаленного доступа, таким как онлайн-банкинг или другие привилегированные действия, требующие использования конфиденциальных Информация.

Защитите свои браузеры

Важно следить за тем, чтобы ваш браузер всегда обновлялся, всплывающая реклама блокировалась, а настройки вашего браузера предотвращали установку неизвестных расширений.

Убедитесь, что посещаемые вами веб-сайты являются законными, проверив адресную строку. Просто помните, что HTTPS безопасен, а HTTP - значительно меньше.

Связанный: Как проверять подозрительные ссылки с помощью встроенных инструментов вашего браузера

Как проверять подозрительные ссылки с помощью встроенных инструментов вашего браузера

Если вы столкнулись с подозрительной ссылкой, проверьте ее с помощью инструментов, доступных в вашем браузере.

Использовать защиту электронной почты

Основной способ проникновения программы-вымогателя Maze - по электронной почте.

Внедрите многофакторную аутентификацию, чтобы добавить дополнительный уровень безопасности и установить даты истечения срока действия паролей. Кроме того, приучите себя и сотрудников никогда не открывать электронные письма из неизвестных источников или, по крайней мере, не загружать ничего вроде подозрительных вложений. Инвестирование в решение для защиты электронной почты гарантирует безопасную передачу ваших писем.

Делайте регулярные резервные копии

Резервное копирование данных является неотъемлемой частью плана аварийного восстановления. В случае атаки, восстановив успешные резервные копии, вы можете легко расшифровать исходные резервные копии данных, которые были зашифрованы хакерами. Рекомендуется настроить автоматическое резервное копирование и создать уникальные и сложные пароли для ваших сотрудников.

Обратите внимание на затронутые конечные точки и учетные данные

И последнее, но не менее важное: если какая-либо из ваших сетевых конечных точек была затронута программой-вымогателем Maze, вы должны быстро определить все учетные данные, используемые на них. Всегда предполагайте, что все конечные точки были доступны и / или взломаны хакерами. Журнал событий Windows пригодится для анализа попыток входа в систему после взлома.

Связанный: 7 способов избежать заражения программами-вымогателями

Ошеломлены атакой Cognizant Maze Attack?

Взлом Cognizant заставил поставщика ИТ-решений изо всех сил пытаться оправиться от огромных финансовых потерь и потерь данных. Однако с помощью ведущих экспертов по кибербезопасности компания быстро оправилась от этой ужасной атаки.

Этот эпизод доказал, насколько опасными могут быть атаки программ-вымогателей.

Помимо лабиринта, злобные злоумышленники ежедневно совершают множество других атак с использованием программ-вымогателей. Хорошая новость заключается в том, что при наличии должной осмотрительности и строгих мер безопасности любая компания может легко смягчить эти атаки до того, как они нанесут удар.

Все, что вам нужно знать о программе-вымогателе NetWalker

NetWalker делает все файлы недоступными, так как же защитить свой бизнес?

Об авторе