Nota oficial da empresa informa que enviou aos clientes afetados IOCs (Indicators of Compromise) “e outras informações técnicas de natureza defensiva”, além de informar autoridades
A Cognizant, uma das maiores empresas de TI do mundo, foi atingida por um ataque de ransomware. O incidente aconteceu com certeza em algum momento no final da semana passada, provavelmente na tarde de sexta-feira – à noite, ela começou a informar seus clientes por e-Mail, e ontem confirmou oficialmente o incidente ao publicar uma nota à imprensa em seu site.
A Cognizant informou na nota que o ataque foi feito com o ransomware Maze, atingindo alguns sistemas internos e causando interrupções nos serviços para alguns clientes. A nota é curta mas afirma que foram tomadas três providências: informar o problema aos clientes afetados e fornecer a eles IOCs (Indicators of Compromise) “e outras informações técnicas de natureza defensiva”; conter o incidente com o trabalho das equipes internas de segurança e de empresas de ciberdefesa contratadas para isso; e informar a polícia em Teaneck, New Jersey, onde fica a sua sede.
No e-Mail aos clientes, a Cognizant incluiu uma “lista preliminar de indicadores de comprometimento identificados por meio de nossa investigação”. Os clientes poderiam então usar essas informações para monitorar seus sistemas e protegê-los ainda mais. A lista incluía endereços IP de servidores e hashes de dos arquivos kepstl32.dll, memes.tmp e maze.dll. Sabe-se que esses endereços e arquivos IP foram usados em ataques anteriores pelos grupo que operou o ransomware Maze. Havia um hash para um quarto arquivo, mas seu nome não está divulgado. Fontes que tiveram acesso a essas informações disseram que todos os IPs informados pela Cognizant tinham sido utilizados anteriormemnte pelos cibercrimiinosos para implantar o Maze, conforme alertas do Department of Homeland Security e do FBI.
Veja isso
Funcionários têm enorme desconhecimento de ransomware
Empresa de software para bancos cai em ransomware
O portal Bleeping Computer conseguiu entrar em contato com o grupo que inicialmente operava o Maze, mas o grupo negou que tenha feito o ataque. No entanto, uma fonte do CISO Advisor observa que no dia 11 alguém oferecia na escuridão da dark web, por US$ 200 mil, o acesso a uma grande empresa de TI. Seis dias depois, no dia dia 17, o vendedor fechou a thread dizendo que o assunto era irrelevante. Coincidência ou não, no dia 18 a Cognizant anunciou a invasão.
Brett Callow, analista de ameaças da Emsisoft, acha “que a negativa do grupo Maze não significa que eles não sejam responsáveis. Pode ser que estejam em negociações no caso da Cognizant”.
O Maze não é como um ransomware típico de criptografia de dados. Ele não apenas se espalha por uma rede, infectando e criptografando todos os computadores em seu caminho, mas também exfiltra os dados para os servidores dos invasores, onde eles são mantidos para resgate. Se o resgate não for pago, os invasores publicam os arquivos na web. Até agora, o site conhecido por estar associado aos invasores do Maze ainda não anunciou ou publicou dados da Cognizant.
Com agências internacionais
Atualizado às 13:54
