Föreställ dig att du skriver ett viktigt e-postmeddelande och plötsligt tappar åtkomst till allt. Eller ta emot ett onödigt felmeddelande som kräver bitcoin för att dekryptera din dator. Det kan finnas många olika scenarier, men en sak förblir densamma för alla ransomware-attacker - angriparna ger alltid instruktioner om hur du får tillbaka din tillgång. Naturligtvis är den enda fångsten att du först måste tillhandahålla en rejäl mängd lösen på förhand.
En förödande typ av ransomware som kallas "Maze" gör rundorna i cybersäkerhetsvärlden. Här är vad du behöver veta om Cognizant Maze ransomware.
Vad är Maze Ransomware?
Maze ransomware kommer i form av en Windows-stam, distribuerad via skräppostmeddelanden och exploateringspaket krävande stora mängder bitcoin eller kryptovaluta i utbyte mot dekryptering och återvinning av stulna data.
E-postmeddelandena kommer med till synes oskyldiga ämnesrader som "Din Verizon-faktura är redo att visas" eller "Missad paketleverans" men härrör från skadliga domäner. Ryktet säger att Maze är affiliate-baserad ransomware som fungerar genom ett nätverk av utvecklare som delar vinster med olika grupper som infiltrerar i företagsnätverk.
För att komma med strategier för att skydda och begränsa exponering från liknande attacker bör vi reflektera över Cognizant Maze...
The Cognizant Maze Ransomware Attack
I april 2020, Cognizant, ett Fortune 500-företag och en av de största globala leverantörerna av IT tjänster, blev ett offer för den onda Maze-attacken som orsakade enorma servicestörningar överallt styrelsen.
På grund av raderingen av interna kataloger som utfördes av denna attack led flera Cognizant-anställda av kommunikationsstörningar, och säljteamet blev förbryllat utan något sätt att kommunicera med kunder och vice tvärtom.
Det faktum att Cognizant-dataintrånget hände när företaget överförde anställda till att arbeta på distans på grund av Coronavirus-pandemin gjorde det mer utmanande. Enligt rapporten från CRNtvingades de anställda att hitta andra sätt att kontakta kollegor på grund av förlorad e-poståtkomst.
"Ingen vill hanteras med en ransomware-attack", säger Cognizant VD, Brian Humphries. ”Jag personligen tror inte att någon verkligen är ogenomtränglig för det, men skillnaden är hur du klarar det. Och vi försökte hantera det professionellt och moget. ”
Företaget destabiliserade snabbt situationen genom att skaffa hjälp från ledande cybersäkerhetsexperter och deras interna IT-säkerhetslag. Cognizants cyberattack rapporterades också till brottsbekämpande myndigheter och Cognizant-klienter fick ständiga uppdateringar av indikatorerna för kompromiss (IOC).
Företaget drabbades emellertid av betydande ekonomiska skador på grund av attacken och samlade upp till en hel del 50-70 miljoner dollar i förlorade intäkter.
Varför är Maze Ransomware en dubbel hot?
Som om det inte var illa nog att bli påverkad av Ransomware, kastade uppfinnarna av Maze-attacken en extra vridning för offren att kämpa med. En skadlig taktik som kallas ”dubbel utpressning” införs med en labyrintattack där offren befinner sig hotade med en läcka av deras komprometterade data om de vägrar att samarbeta och möta ransomware krav.
Denna ökända ransomware kallas med rätta ett ”dubbelt hot” eftersom, förutom att stänga av nätverksaccessen för anställda skapar den också en kopia av hela nätverksdata och använder den för att utnyttja och locka offren till att möta lösen.
Tyvärr slutar trycktaktiken från Maze-skaparna inte här. Ny forskning har visat att TA2101, en grupp bakom Maze-ransomware, nu har publicerat en dedikerad webbplats som listar alla deras icke-samarbetsvilliga offer och ofta publicerar sina stulna dataprov som en form av bestraffning.
Hur man kan begränsa Maze Ransomware-incidenter
Att mildra och eliminera riskerna med ransomware är en mångfacetterad process där olika strategier kombineras och skräddarsys baserat på varje användarfall och en individs riskprofil organisation. Här är de mest populära strategierna som kan hjälpa till att stoppa en Maze-attack direkt i dess spår.
Tillämpa vitlistning av applikationer
Application Whitelisting är en proaktiv hotdämpningsteknik som endast tillåter förutbehöriga program eller programvara att köra medan alla andra är blockerade som standard.
Denna teknik hjälper oerhört till att identifiera olagliga försök att köra skadlig kod och hjälper till att förhindra obehöriga installationer.
Patchapplikationer och säkerhetsfel
Säkerhetsfel bör korrigeras så snart de upptäcks för att förhindra manipulation och missbruk av angripare. Här är de rekommenderade tidsramarna för att applicera korrigeringsfiler snabbt baserat på svårighetsgraden av bristerna:
- Extrem risk: inom 48 timmar efter att en lapp släpptes.
- Hög risk: inom två veckor efter att en lapp släpptes.
- Måttlig eller låg risk: inom en månad efter att en lapp släpptes.
Konfigurera Microsoft Office-makroinställningar
Makron används för att automatisera rutinuppgifter men kan ibland vara ett enkelt mål för att transportera skadlig kod till ett system eller en dator när den är aktiverad. Det bästa tillvägagångssättet är att hålla dem funktionshindrade om möjligt eller få dem utvärderade och granskade innan de används.
Använd applikationshärdning
Application Hardening är en metod för att skydda dina applikationer och använda extra lager av säkerhet för att skydda dem från stöld. Java-applikationer är mycket utsatta för säkerhetsproblem och kan användas av hotaktörer som ingångspunkter. Det är absolut nödvändigt att skydda ditt nätverk genom att använda denna metod på applikationsnivå.
Begränsa administrativa privilegier
Administrativa behörigheter bör hanteras med ett överflöd av försiktighet eftersom ett administratörskonto har tillgång till allt. Använd alltid principen om minst privilegium (POLP) när du ställer in åtkomst och behörighet, eftersom det kan vara en integrerad faktor för att mildra Maze-ransomware eller någon cyberattack för den delen.
Patch operativsystem
Som en tumregel bör alla applikationer, datorer och nätverksenheter med extrema riskproblem patchas upp inom 48 timmar. Det är också viktigt att se till att endast de senaste versionerna av operativsystem används och undvika versioner som inte stöds till varje pris.
Implementera multifaktorautentisering
Multi-Factor Authentication (MFA) lägger till ett extra lager av säkerhet eftersom flera behöriga enheter krävs för att logga in till fjärråtkomstlösningar som nätbank eller andra privilegierade åtgärder som kräver användning av känsliga information.
Säkra dina webbläsare
Det är viktigt att se till att din webbläsare alltid är uppdaterad, popup-annonser blockeras och att dina webbläsarinställningar förhindrar installation av okända tillägg.
Kontrollera om webbplatserna du besöker är legitima genom att kontrollera adressfältet. Kom bara ihåg att HTTPS är säkert medan HTTP är betydligt mindre.
Relaterad: Hur man inspekterar misstänkta länkar med din webbläsares inbyggda verktyg
Om du stöter på en misstänkt länk, kolla in den med de verktyg som finns i din webbläsare.
Använder e-postsäkerhet
Den viktigaste inmatningsmetoden för Maze ransomware är via e-post.
Implementera multifaktorautentisering för att lägga till ett extra lager av säkerhet och ange utgångsdatum för lösenord. Lär dig också och personal att aldrig öppna e-postmeddelanden från okända källor eller åtminstone inte ladda ner något som misstänkta bilagor. Att investera i en e-postskyddslösning säkerställer säker överföring av dina e-postmeddelanden.
Gör regelbundna säkerhetskopior
Säkerhetskopiering av data är en integrerad del av en katastrofåterställningsplan. I händelse av en attack, genom att återställa framgångsrika säkerhetskopior kan du enkelt dekryptera den ursprungliga säkerhetskopierade informationen som krypterades av hackarna. Det är en bra idé att skapa automatiska säkerhetskopior och skapa unika och komplexa lösenord för dina anställda.
Var uppmärksam på berörda slutpunkter och referenser
Sist men inte minst, om någon av dina nätverksändpunkter har påverkats av Maze ransomware, bör du snabbt identifiera alla referenser som används på dem. Antag alltid att alla slutpunkter var tillgängliga och / eller komprometterade av hackarna. Windows händelselogg kommer att vara till nytta för analys av inloggningar efter kompromiss.
Relaterad: 7 sätt att undvika att drabbas av Ransomware
Dazed om Cognizant Maze Attack?
Cognizant-överträdelsen fick IT-lösningsleverantören att krypa för att återhämta sig från enorma ekonomiska och dataförluster. Men med hjälp av de bästa cybersäkerhetsexperterna återhämtade företaget sig snabbt från denna onda attack.
Det här avsnittet bevisade hur farliga ransomware-attacker kan vara.
Förutom labyrinten finns det en uppsjö av andra ransomware-attacker som dagligen utförs av onda hotaktörer. Den goda nyheten är, med tillbörlig aktsamhet och stränga säkerhetsrutiner på plats, vilket företag som helst kan lätt mildra dessa attacker innan de slår till.
NetWalker gör alla filer otillgängliga, så hur kan du skydda ditt företag?
- Internet
Kinza är en teknikentusiast, teknisk författare och självutnämnd nörd som bor i norra Virginia med sin man och två barn. Med en BS i datanätverk och många IT-certifieringar inom ramen arbetade hon inom telekommunikationsindustrin innan hon gick in i tekniskt skrivande. Med en nisch inom cybersäkerhet och molnbaserade ämnen tycker hon om att hjälpa kunder att uppfylla sina olika tekniska skrivkrav över hela världen. På fritiden tycker hon om att läsa skönlitteratur, teknologibloggar, skapa snygga barnberättelser och laga mat för sin familj.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Ett steg till…!
Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.
