Golpistas Perseguem Usuários Vulneráveis. A AARP Relata Aumento nos Casos de Fraude
A empresa de tecnologias da informação Cognizant foi alvo de um ataque cibernético pelos atores de ameaças por trás do Maze Ransomware na semana passada. A Cognizant é uma das maiores empresas que trabalham com o gerenciamento de TI, com quase 300 mil funcionários e mais de US $15 bilhões em receita.
Como parte das operações da empresa, a Cognizant gerencia clientes por meio de agentes ou clientes finais, instalados nas estações de trabalho dos clientes e enviando patches, atualizações de software e serviços de suporte remoto. A Cognizant começou a enviar e-mails para seus clientes na sexta-feira passada, dizendo que eles estavam comprometidos. O e-mail tinha uma lista de indicadores de comprometimento encontrados pela empresa durante a investigação. Os clientes foram capazes de usar essas informações nos seus sistemas para protegê-los contra novos ataques.
As informações listadas incluíam endereços de IP de servidores e os hashes de arquivo para kepstl32.dll, memes.tmp e maze.dll. Sabe-se que os endereços de IP e arquivos foram usados em ataques anteriores pelos atores de ameaças por trás do Maze Ransomware. Também havia um hash de arquivo sem nome, sem mais informações sobre ele. O pesquisador de segurança do MalwareTeam, Vitali Kremez, lançou uma regra do Yara que pode ser usada para detectar o DLL do Maze Ransomware.
Os Autores do Labirinto Negam Envolvimento
Os operadores do Maze negaram serem responsáveis pelo ataque quando os pesquisadores de segurança os contataram. No passado, o Maze não estava disposto a discutir ataques ou vítimas até o momento em que as negociações paravam. Devido à natureza recente do ataque, o Maze não está disposto a discuti-lo novamente para evitar problemas com possíveis pagamentos de resgate pelas vítimas.
Quando a Cognizant fez seu relatório sobre o ataque, eles publicaram uma declaração no seu site, confirmando que o Maze Ransomware causou o ataque cibernético. A empresa mencionou que um incidente de segurança foi investigado por sua equipe de segurança interna, auxiliada pelas principais empresas de defesa cibernética. A Cognizant também pediu a ajuda da polícia para trabalhar no problema. A comunicação contínua com os clientes forneceu à empresa indicadores de comprometimento e outras informações.
Os Autores da Ameaça Labirinto Provavelmente Estavam em Ação por Semanas
Os operadores do Maze que fizeram o ataque provavelmente estavam presentes na rede Cognizant por semanas ou mais, segundo os pesquisadores. Quando os operadores e ransomware atacam uma rede, eles geralmente se espalham dentro dela o mais silenciosamente possível. Isso é feito com a idéia de roubar arquivos e credenciais, evitando a detecção pelo maior tempo possível. Depois que os invasores obtêm acesso às credenciais na rede, eles implantam ferramentas de ransomware com a ajuda de ferramentas como o PowerShell Empire.
Antes da implantação do ransomware, os operadores do Maze roubam arquivos não criptografados antes de criptografá-los. Esses arquivos são usados para forçar as vítimas a pagar um resgate, com o Maze ameaçando liberar os dados na dark web se as vítimas não fizerem o pagamento. Os autores de ameaças cumprem as suas ameaças, pois possuem um site com uma seção 'Notícias' onde publicam dados roubados de vítimas que se recusam a pagar. Supondo que o Maze não estivesse envolvido nesse caso específico, como alegam, ainda é possível que outro operador tenha roubado os dados.