cognizant ransomware

Cognizant comunica ransomware; clientes notificados sobre risco

Paulo Brito
19/04/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Nota oficial da empresa informa que enviou aos clientes afetados IOCs (Indicators of Compromise) “e outras informações técnicas de natureza defensiva”, além de informar autoridades

cognizant ransomware

A Cognizant, uma das maiores empresas de TI do mundo, foi atingida por um ataque de ransomware. O incidente aconteceu com certeza em algum momento no final da semana passada, provavelmente na tarde de sexta-feira – à noite, ela começou a informar seus clientes por e-Mail, e ontem confirmou oficialmente o incidente ao publicar uma nota à imprensa em seu site. 

A Cognizant informou na nota que o ataque foi feito com o ransomware Maze, atingindo alguns sistemas internos e causando interrupções nos serviços para alguns clientes. A nota é curta mas afirma que foram tomadas três providências: informar o problema aos clientes afetados e fornecer a eles IOCs (Indicators of Compromise) “e outras informações técnicas de natureza defensiva”; conter o incidente com o trabalho das equipes internas de segurança e de empresas de ciberdefesa contratadas para isso; e informar a polícia em Teaneck, New Jersey, onde fica a sua sede. 

No e-Mail aos clientes, a Cognizant incluiu uma “lista preliminar de indicadores de comprometimento identificados por meio de nossa investigação”. Os clientes poderiam então usar essas informações para monitorar seus sistemas e protegê-los ainda mais. A lista incluía endereços IP de servidores e hashes de dos arquivos kepstl32.dll, memes.tmp e maze.dll. Sabe-se que esses endereços e arquivos IP foram usados em ataques anteriores pelos grupo que operou o ransomware Maze. Havia um hash para um quarto arquivo, mas seu nome não está divulgado. Fontes que tiveram acesso a essas informações disseram que todos os IPs informados pela Cognizant tinham sido utilizados anteriormemnte pelos cibercrimiinosos para implantar o Maze, conforme alertas do Department of Homeland Security e do FBI.

Veja isso
Funcionários têm enorme desconhecimento de ransomware
Empresa de software para bancos cai em ransomware

O portal Bleeping Computer conseguiu entrar em contato com o grupo que inicialmente operava o Maze, mas o grupo negou que tenha feito o ataque. No entanto, uma fonte do CISO Advisor observa que no dia 11 alguém oferecia na escuridão da dark web, por US$ 200 mil, o acesso a uma grande empresa de TI. Seis dias depois, no dia dia 17, o vendedor fechou a thread dizendo que o assunto era irrelevante. Coincidência ou não, no dia 18 a Cognizant anunciou a invasão.

Brett Callow, analista de ameaças da Emsisoft, acha “que a negativa do grupo Maze não significa que eles não sejam responsáveis. Pode ser que estejam em negociações no caso da Cognizant”. 

O Maze não é como um ransomware típico de criptografia de dados. Ele não apenas se espalha por uma rede, infectando e criptografando todos os computadores em seu caminho, mas também exfiltra os dados para os servidores dos invasores, onde eles são mantidos para resgate. Se o resgate não for pago, os invasores publicam os arquivos na web. Até agora, o site conhecido por estar associado aos invasores do Maze ainda não anunciou ou publicou dados da Cognizant.

Com agências internacionais

Atualizado às 13:54

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest