A Cognizant, uma das maiores prestadoras de serviços de TI do mundo foi atingida por um dos mais temidos ransomwares existentes, o Maze.
O ransomware Maze é conhecido por extorquir grandes organizações com graves ameaças. Os criminosos por trás da praga virtual usam pressão nas vítimas para receberem o resgate (em bitcoin) solicitado: Nós criptografamos seus arquivos e vamos vazar para o mundo se não recebermos o pagamento.
Outros ransomwares costumam “apenas” deletar os arquivos caso não recebam o valor de resgate solicitado.
A Cognizant é uma empresa de TI que integra a Fortune 500, lista anual da revista Fortune que contém as 500 maiores empresas dos Estados Unidos. Atualmente a Cognizant tem cerca de 300 mil funcionários em todo mundo.
No Brasil, a Cognizant tem quase 2 mil funcionários, e projetos em mais de 15 cidades brasileiras, a empresa tem três escritórios em São Paulo (SP) e um em Curitiba (PR). De acordo com o Computer World.
A empresa afirmou que está fornecendo aos clientes status e outros detalhes técnicos do ataque, que aconteceu na sexta-feira.
A empresa divulgou um comunicado no sábado sobre o ataque. “A Cognizant pode confirmar que um incidente de segurança envolvendo nossos sistemas internos e causando interrupções no serviço para alguns de nossos clientes é o resultado de um ataque do ransomware Maze”, afirmou.
“Nossas equipes de segurança, complementadas pelas principais empresas de defesa cibernética, estão tomando medidas para conter esse incidente”, disse a empresa em um comunicado em seu site. “A Cognizant também envolveu as autoridades apropriadas.”
Hackers por trás do Maze negam responsabilidade
Os hackers por trás do Maze negaram a responsabilidade pelo ataque, de acordo com o site de segurança BleepingComputer. O site entrou em contato com os responsáveis pelo Maze , e eles negam ser responsáveis pelo ataque a empresa.
O site diz também que o Maze tem um site de “Notícias”, que é usado para publicar dados roubados de vítimas que não pagam pelo resgate.
Caso tenha sido de fato os criadores do Maze, então é provável que eles estavam na rede da empresa por várias semanas.
Quando hackers invadem redes de grandes empresas, eles se espalham lateralmente de maneira lenta e furtiva pelo sistema à medida que roubam arquivos e credenciais.
Quando os invasores conseguem credenciais de administrador, eles implantam o ransomware usando ferramentas de script, como o PowerShell.
“Extorsão dupla”
Desde que o ransomware Maze foi descoberto em 2019, seus criadores ganharam manchetes em uma série de ataques cibernéticos de alto perfil, inclusive contra a cidade de Pensacola, na Flórida.
O labirinto criado pelos hackers é uma ameaça particularmente desagradável porque seus responsáveis costumam usar uma tática chamada “extorsão dupla”, na qual ameaçam vazar dados confidenciais ou usá-los em futuros ataques de phishing ou spam, se as exigências de resgate não forem atendidas.
Dessa forma, mesmo que uma organização tenha backups a partir dos quais possa restaurar dados e continuar trabalhando, não seria o suficiente para mitigar todas as ameaças.
Isso foi visto em um ataque em novembro contra a Allied Universal, uma grande empresa americana de segurança.
Depois que a empresa se recusou a pagar o resgate de 300 Bitcoins (US $ 2,3 milhões), os atacantes ameaçaram usar informações confidenciais extraídas dos sistemas da empresa, bem como certificados de e-mail e nome de domínio roubados, para uma campanha de spam que representava a empresa.
Clientes também são afetados
A Cognizant possui mais de 270 escritórios em todo o mundo e fornece serviços de TI para diversas empresas.
Em outras palavras, o ataque não afeta apenas a Cognizant. Também afeta potencialmente muitos dos seus clientes, muitos dos quais são nomes bem conhecidos.
Se os invasores estão dizendo a verdade sobre o roubo de informações da rede da Cognizant, existe então a possibilidade de que esses dados sejam dos clientes da gigante de TI.
