A Cognizant, uma das maiores empresas de TI do mundo, começou ontem a comunicar aos seus clientes o fato de que houve exfiltração de dados no incidente causado por um ataque de ransomware em abril. O comunicado diz que “recentemente, descobrimos que a Cognizant foi vítima de um ataque de ransomware realizado por cibercriminosos internacionais através dos quais informações pessoais relacionadas a você foram afetadas. Em 20 de abril de 2020, a Cognizant descobriu que os atacantes organizaram e provavelmente exfiltraram uma quantidade limitada de dados dos sistemas da Cognizant. Com base em nossa investigação, entendemos que essa atividade ocorreu entre os dias 9 e 11 de abril”.
Apesar das suspeitas, o grupo Maze negou que tenha feito o ataque. No entanto, uma fonte do CISO Advisor observou que no dia 11 de maio alguém oferecia na dark web, por US$ 200 mil, o acesso a uma grande empresa de TI. Seis dias depois, no dia dia 17, o vendedor fechou a thread dizendo que o assunto era irrelevante. Coincidência ou não, no dia 18 a Cognizant anunciou a invasão. Brett Callow, analista de ameaças da Emsisoft, acha “que a negativa do grupo Maze não significa que eles não sejam responsáveis. Pode ser que estejam em negociações no caso da Cognizant”.
Na nota enviada aos clientes, a Cognizant informa que as informações pessoais envolvidas no incidente incluem “seu nome e um ou mais dentre: seu número de Seguro Social e / ou outro número de identificação fiscal, informações de conta financeira, informações de carteira de motorista e / ou informações de passaporte”.
Veja isso
Cognizant comunica ransomware; clientes notificados sobre risco
Cognizant perde até US$ 70M no ataque do Maze ransomware
Em duas cartas de notificação de violação de dados protocoladas no na Procuradoria Geral da Califórnia, um especialista afirma que os operadores do Maze Ransomware estavam ativos na rede da Cognizant entre os dias 9 e 11 de abril. Durante o tempo em que tiveram acesso, “provavelmente exfiltraram uma quantidade limitada de dados dos sistemas da Cognizant”.
Antes de implantar ransomware, os operadores do Maze geralmente se fazem movimentos laterais pela rede e roubam arquivos não criptografados. Esses arquivos roubados são então usados como uma tática de extorsão, já que eles ameaçam divulgar publicamente os dados no site de vazamento de dados do Maze quando uma vítima não paga.
Com agências internacionais
