Крупный поставщик ИТ-услуг, американская компания Cognizant, стал жертвой шифровальщика Maze. Атака привела к перебоям в обслуживании некоторых клиентов.
Cognizant предоставляет локальные и облачные услуги для других компаний по всему миру, в том числе технологические, консалтинговые и операционные (специалисты компании дистанционно управляют машинами своих клиентов для установки исправлений, обновления ПО, предоставляют услуги удаленной поддержки и так далее). Штат компания насчитывает около 300 000 сотрудников по всему миру, она занимает 193 место в списке Fortune 500, а среди ее клиентов чистятся крупные банковские организации, компании из сферы здравоохранения, производства и многие другие.
В минувшие выходные ИТ-гигант подтвердил, что пострадал от атаки шифровальщика, сообщив, что системы компании оказались заражены вымогателем Maze. Пока не сообщается, сколько именно систем пострадало, но известно, что инцидент перевел к перебоям в обслуживании некоторых клиентов, а также, в теории, создал для них угрозу.
Представители компании уже обратились в правоохранительные органы и опубликовали индикаторы компрометации для своих клиентов, в том числе IP-адреса серверов и хэши файлов kepstl32.dll, memes.tmp и maze.dll. Перечисленные в этом списке IP-адреса и файлы уже использовались в предыдущих атаках Maze.
Опираясь эти данные, ИБ-эксперт Виталий Кремез подготовил правило Yara, которое можно использовать для обнаружения DLL шифровальщика Maze.
High alert related to the yet another ransomware attack perpetrated by the Maze group possibly affecting @Cognizant.
— Vitali Kremez (@VK_Intel) April 18, 2020
Reviewing & mitigating against the usual Maze TTPs (including RDP + remote services as an attack vector) is advisable.
✅Pushed #YARA↘️https://t.co/qcUY464fSf pic.twitter.com/z2zHL5apkm
Журналисты издания Bleeping Computer сообщают, что операторы Maze отказались обсуждать с ними данную атаку и не взяли на себя ответственность за взлом Cognizant. Скорее всего, хакеры не готовы обсуждать этот инцидент, чтобы не осложнять ситуацию, пока идет обсуждения выкупа (подобные прецеденты уже были).
Также журналисты отмечают, что в злоумышленники, вероятно, присутствовали в сети Cognizant много недель и постепенно продвигались все дальше, компрометируя все больше систем. Кроме того, Bleeping Computer напоминает, что перед развертыванием шифровальщика операторы Maze всегда крадут файлы компаний, а затем используют похищенную информацию против пострадавших в качестве дополнительного рычага давления. Так, вымогатели угрожают обнародовать украденные данные, если жертва не заплатит. К сожалению, эти угрозы нельзя назвать пустыми, так как у группировки есть специальный сайт, где действительно публикуются данные компаний, которые отказались платить.