Lo que necesita saber sobre el ataque de Cognizant Maze Ransomware

Imagínese escribir un correo electrónico de trabajo importante y perder repentinamente el acceso a todo. O recibir un mensaje de error vicioso exigiendo que bitcoin descifre su computadora. Puede haber muchos escenarios diferentes, pero una cosa sigue siendo la misma para todos los ataques de ransomware: los atacantes siempre brindan instrucciones sobre cómo recuperar su acceso. Por supuesto, el único inconveniente es que primero debe proporcionar una cantidad considerable de rescate por adelantado.

Un tipo devastador de ransomware conocido como "Maze" está circulando en el mundo de la ciberseguridad. Esto es lo que necesita saber sobre el ransomware Cognizant Maze.

¿Qué es el Maze Ransomware?

El ransomware Maze viene en forma de una cepa de Windows, distribuida a través de correos electrónicos no deseados y kits de explotación que exigen grandes cantidades de bitcoins o criptomonedas a cambio del descifrado y recuperación de datos robados.

Los correos electrónicos llegan con líneas de asunto aparentemente inocentes, como "Su factura de Verizon está lista para ver" o "Entrega de paquete perdido", pero se originan a través de dominios maliciosos. Se rumorea que Maze es un ransomware basado en afiliados que opera a través de una red de desarrolladores que comparten las ganancias con diferentes grupos que se infiltran en las redes corporativas.

Para idear estrategias para proteger y limitar la exposición a ataques similares, deberíamos reflexionar sobre Cognizant Maze …

El ataque de Cognizant Maze Ransomware

En abril de 2020, Cognizant, una empresa de Fortune 500 y uno de los mayores proveedores mundiales de servicios de TI, se convirtió en víctima del feroz ataque Maze que causó inmensas interrupciones del servicio en todos los ámbitos.

Debido a la eliminación de directorios internos llevada a cabo por este ataque, varios empleados de Cognizant sufrieron interrupciones en la comunicación y el equipo de ventas quedó desconcertado sin forma de comunicarse con los clientes y viceversa.

El hecho de que la violación de datos de Cognizant ocurriera cuando la empresa estaba transfiriendo a los empleados para trabajar de forma remota debido a la pandemia de Coronavirus lo hizo más desafiante. Según el informe de CRN , los empleados se vieron obligados a buscar otros medios para contactar a sus compañeros de trabajo debido a la pérdida de acceso al correo electrónico.

"Nadie quiere enfrentarse a un ataque de ransomware", dijo el director ejecutivo de Cognizant, Brian Humphries. “Personalmente, no creo que nadie sea realmente inmune a ello, pero la diferencia es cómo se gestiona. Y tratamos de gestionarlo de forma profesional y madura ".

La empresa desestabilizó rápidamente la situación adquiriendo la ayuda de los principales expertos en ciberseguridad y sus equipos internos de seguridad de TI. El ciberataque de Cognizant también se informó a las fuerzas del orden y los clientes de Cognizant recibieron actualizaciones constantes sobre los Indicadores de compromiso (IOC).

Sin embargo, la compañía incurrió en daños financieros sustanciales debido al ataque, acumulando hasta $ 50- $ 70 millones en ingresos perdidos .

¿Por qué Maze Ransomware es una doble amenaza?

Como si verse afectado por Ransomware no fuera lo suficientemente malo, los inventores del ataque Maze le dieron un giro adicional a las víctimas. Una táctica maliciosa conocida como "doble extorsión" se introduce con un ataque de laberinto en el que las víctimas son amenazadas con una filtración de sus datos comprometidos si se niegan a cooperar y cumplir con las demandas de ransomware.

Este notorio ransomware se denomina con razón una "doble amenaza" porque, además de cerrar el acceso a la red para los empleados, también crea una réplica de toda la información de la red y la utiliza para explotar y atraer a las víctimas para que cumplan con el rescate.

Desafortunadamente, las tácticas de presión de los creadores de Maze no terminan aquí. Investigaciones recientes han indicado que TA2101, un grupo detrás del ransomware Maze, ahora ha publicado un sitio web dedicado que enumera todas sus víctimas que no cooperaron y publica con frecuencia sus muestras de datos robados como una forma de castigo.

Cómo limitar los incidentes de Maze Ransomware

Mitigar y eliminar los riesgos del ransomware es un proceso multifacético en el que se combinan y personalizan varias estrategias en función de cada caso de usuario y el perfil de riesgo de una organización individual. Estas son las estrategias más populares que pueden ayudar a detener un ataque de laberinto en seco.

Hacer cumplir la lista blanca de aplicaciones

La lista blanca de aplicaciones es una técnica proactiva de mitigación de amenazas que permite que solo se ejecuten programas o software preautorizados, mientras que todos los demás están bloqueados de forma predeterminada.

Esta técnica ayuda enormemente a identificar intentos ilegales de ejecutar código malicioso y ayuda a prevenir instalaciones no autorizadas.

Aplicaciones de parche y fallas de seguridad

Las fallas de seguridad deben repararse tan pronto como se descubran para evitar la manipulación y el abuso por parte de los atacantes. A continuación, se muestran los plazos recomendados para aplicar los parches con prontitud según la gravedad de las fallas:

  • Riesgo extremo : dentro de las 48 horas posteriores al lanzamiento del parche.
  • Alto riesgo : dentro de las dos semanas posteriores al lanzamiento del parche.
  • Riesgo moderado o bajo : en el plazo de un mes desde que se lanzó el parche.

Configurar las opciones de macros de Microsoft Office

Las macros se utilizan para automatizar tareas de rutina, pero a veces pueden ser un objetivo fácil para transportar código malicioso a un sistema o computadora una vez habilitadas. El mejor enfoque es mantenerlos desactivados si es posible o hacer que los evalúen y revisen antes de usarlos.

Emplear el endurecimiento de la aplicación

El endurecimiento de aplicaciones es un método para proteger sus aplicaciones y aplicar capas adicionales de seguridad para protegerlas contra robos. Las aplicaciones Java son muy propensas a las vulnerabilidades de seguridad y pueden ser utilizadas por los actores de amenazas como puntos de entrada. Es imperativo proteger su red empleando esta metodología a nivel de aplicación.

Restringir privilegios administrativos

Los privilegios administrativos deben manejarse con mucha precaución ya que una cuenta de administrador tiene acceso a todo. Emplee siempre el principio de privilegio mínimo (POLP) al configurar accesos y permisos, ya que puede ser un factor integral para mitigar el ransomware Maze o cualquier ciberataque.

Sistemas operativos de parche

Como regla general, todas las aplicaciones, computadoras y dispositivos de red con vulnerabilidades de riesgo extremo deben repararse en un plazo de 48 horas. También es vital asegurarse de que solo se utilicen las últimas versiones de los sistemas operativos y evitar las versiones no compatibles a toda costa.

Implementar la autenticación multifactor

La autenticación multifactor (MFA) agrega una capa adicional de seguridad ya que se requieren múltiples dispositivos autorizados para iniciar sesión en soluciones de acceso remoto como banca en línea o cualquier otra acción privilegiada que requiera el uso de información confidencial.

Asegure sus navegadores

Es importante asegurarse de que su navegador esté siempre actualizado, los anuncios emergentes estén bloqueados y la configuración de su navegador evite la instalación de extensiones desconocidas.

Verifique si los sitios web que está visitando son legítimos revisando la barra de direcciones. Solo recuerde, HTTPS es seguro, mientras que HTTP lo es considerablemente menos.

Relacionado: Cómo inspeccionar enlaces sospechosos con las herramientas integradas de su navegador

Emplear seguridad de correo electrónico

El principal método de entrada para el ransomware Maze es por correo electrónico.

Implemente la autenticación de múltiples factores para agregar una capa adicional de seguridad y establecer fechas de vencimiento para las contraseñas. Además, capacítese a usted mismo y al personal para no abrir nunca correos electrónicos de fuentes desconocidas o al menos no descargar nada como archivos adjuntos sospechosos. Invertir en una solución de protección de correo electrónico garantiza la transmisión segura de sus correos electrónicos.

Realice copias de seguridad periódicas

Las copias de seguridad de datos son una parte integral de un plan de recuperación ante desastres. En caso de un ataque, al restaurar copias de seguridad exitosas, puede descifrar fácilmente los datos originales de la copia de seguridad que fueron cifrados por los piratas informáticos. Es una buena idea configurar copias de seguridad automatizadas y crear contraseñas únicas y complejas para sus empleados.

Preste atención a los endpoints y credenciales afectados

Por último, pero no menos importante, si alguno de los puntos finales de su red se ha visto afectado por el ransomware Maze, debe identificar rápidamente todas las credenciales utilizadas en ellos. Asuma siempre que todos los puntos finales estaban disponibles y / o comprometidos por los piratas informáticos. El registro de eventos de Windows será útil para el análisis de inicios de sesión posteriores al compromiso.

Relacionado: 7 formas de evitar ser golpeado por ransomware

¿Aturdido por el Cognizant Maze Attack?

La violación de Cognizant dejó al proveedor de soluciones de TI luchando por recuperarse de las inmensas pérdidas financieras y de datos. Sin embargo, con la ayuda de los mejores expertos en ciberseguridad, la empresa se recuperó rápidamente de este feroz ataque.

Este episodio demostró cuán peligrosos pueden ser los ataques de ransomware.

Además del Laberinto, hay una plétora de otros ataques de ransomware llevados a cabo por agresores a diario. La buena noticia es que, con la debida diligencia y las estrictas prácticas de seguridad, cualquier empresa puede mitigar fácilmente estos ataques antes de que ocurran.