BleepingComputer获悉,信息技术服务巨头Cognizant上周五晚上遭到了Maze Ransomware运营商的网络攻击。
Cognizant是全球最大的IT托管服务公司之一,拥有近30万名员工,收入超过150亿美元。
作为其运营的一部分,Cognizant通过安装在客户工作站上的端点客户端或代理远程管理其客户端,以推出补丁程序,软件更新并执行远程支持服务。
上周五,Cognizant开始通过电子邮件向其客户发送电子邮件,指出他们已遭到入侵,并包括“通过我们的调查确定的损害指标的初步列表”。然后,客户可以使用此信息来监视其系统并进一步保护它们。
列出的IOC包括服务器的IP地址以及kepstl32.dll,memes.tmp和maze.dll文件的文件哈希。已知这些 IP地址和文件是由Maze勒索软件参与者在先前的攻击中使用的。
也有一个新的未命名文件的哈希,但是没有有关此文件的更多信息。
安全研究Vitali Kremez 发布了一个Yara规则,该规则可用于检测Maze Ransomware DLL。
当我们就此攻击事件与Maze运营商联系时,他们否认对此负责。
过去,迷宫一直不愿讨论攻击或受害者,直到谈判停顿为止。由于这次攻击是最近才发生的,因此Maze可能不会讨论它,以避免他们希望潜在的赎金支付带来的麻烦。
在报告了此攻击后,Cognizant在其网站上发布了一份声明,确认该网络攻击是由Maze Ransomware进行的:
Cognizant可以确认涉及Maze勒索软件攻击的结果是涉及我们内部系统的安全事件,并导致某些客户的服务中断。
我们的内部安全团队,再加上领先的网络防御公司,正在积极采取措施遏制此事件。Cognizant还与适当的执法机构进行了接触。
我们一直在与客户保持沟通,并向他们提供了危害指标(IOC)和其他具有防御性的技术信息。
威胁参与者可能会在网络上停留数周
如果Maze操作人员实施了这种攻击,他们很可能会在Cognizant的网络中出现数周,甚至更长。
当针对企业的勒索软件操作员破坏网络时,他们将在窃取文件和窃取凭据的过程中缓慢,隐身地横向传播到整个系统。
攻击者在网络上获得管理员凭据后,他们将使用PowerShell Empire等工具部署勒索软件。
如果是迷宫,则必须将其视为数据泄露
在部署勒索软件之前,迷宫操作员始终会先加密未加密的文件,然后再对其进行加密。
这些文件然后被用作进一步的手段来让受害者支付赎金,因为如果受害者不付款,迷宫将威胁释放数据。
这些并不是闲置的威胁,因为Maze创建了一个“新闻”网站,用于发布来自非付费受害者的被盗数据。
如果Maze没有像他们声称的那样支持攻击,那么很有可能数据被盗,因为这已成为勒索软件运营商使用的一种标准策略。
因此,所有勒索软件攻击都必须视为数据泄露。
*编译:Domino
*来自:Bleeping