GLOV
Участник БФ «DUBLIKAT-ДОБРО»
Проверенный продавец
Продавец
Проверенный покупатель
Подтвержденный
Крупный поставщик ИТ-услуг, американская компания Cognizant, стал жертвой шифровальщика Maze. Атака привела к перебоям в обслуживании некоторых клиентов.
Cognizant предоставляет локальные и облачные услуги для других компаний по всему миру, в том числе технологические, консалтинговые и операционные (специалисты компании дистанционно управляют машинами своих клиентов для установки исправлений, обновления ПО, предоставляют услуги удаленной поддержки и так далее). Штат компания насчитывает около 300 000 сотрудников по всему миру, она занимает 193 место в списке Fortune 500, а среди ее клиентов чистятся крупные банковские организации, компании из сферы здравоохранения, производства и многие другие.
В минувшие выходные ИТ-гигант подтвердил, что пострадал от атаки шифровальщика, сообщив, что системы компании оказались заражены вымогателем Maze. Пока не сообщается, сколько именно систем пострадало, но известно, что инцидент перевел к перебоям в обслуживании некоторых клиентов, а также, в теории, создал для них угрозу.
Представители компании уже обратились в правоохранительные органы и опубликовали индикаторы компрометации для своих клиентов, в том числе IP-адреса серверов и хэши файлов kepstl32.dll, memes.tmp и maze.dll. Перечисленные в этом списке IP-адреса и файлы уже использовались в предыдущих атаках Maze.
Опираясь эти данные, ИБ-эксперт Виталий Кремез подготовил правило Yara, которое можно использовать для обнаружения DLL шифровальщика Maze.
Также журналисты отмечают, что в злоумышленники, вероятно, присутствовали в сети Cognizant много недель и постепенно продвигались все дальше, компрометируя все больше систем. Кроме того, Bleeping Computer напоминает, что перед развертыванием шифровальщика операторы Maze всегда крадут файлы компаний, а затем используют похищенную информацию против пострадавших в качестве дополнительного рычага давления. Так, вымогатели угрожают обнародовать украденные данные, если жертва не заплатит. К сожалению, эти угрозы нельзя назвать пустыми, так как у группировки есть специальный сайт, где действительно публикуются данные компаний, которые отказались платить.
Cognizant предоставляет локальные и облачные услуги для других компаний по всему миру, в том числе технологические, консалтинговые и операционные (специалисты компании дистанционно управляют машинами своих клиентов для установки исправлений, обновления ПО, предоставляют услуги удаленной поддержки и так далее). Штат компания насчитывает около 300 000 сотрудников по всему миру, она занимает 193 место в списке Fortune 500, а среди ее клиентов чистятся крупные банковские организации, компании из сферы здравоохранения, производства и многие другие.
В минувшие выходные ИТ-гигант подтвердил, что пострадал от атаки шифровальщика, сообщив, что системы компании оказались заражены вымогателем Maze. Пока не сообщается, сколько именно систем пострадало, но известно, что инцидент перевел к перебоям в обслуживании некоторых клиентов, а также, в теории, создал для них угрозу.
Представители компании уже обратились в правоохранительные органы и опубликовали индикаторы компрометации для своих клиентов, в том числе IP-адреса серверов и хэши файлов kepstl32.dll, memes.tmp и maze.dll. Перечисленные в этом списке IP-адреса и файлы уже использовались в предыдущих атаках Maze.
Опираясь эти данные, ИБ-эксперт Виталий Кремез подготовил правило Yara, которое можно использовать для обнаружения DLL шифровальщика Maze.
Журналисты издания Bleeping Computer сообщают, что операторы Maze отказались обсуждать с ними данную атаку и не взяли на себя ответственность за взлом Cognizant. Скорее всего, хакеры не готовы обсуждать этот инцидент, чтобы не осложнять ситуацию, пока идет обсуждения выкупа (подобные прецеденты уже были).![]()
Нажмите для раскрытия...
Также журналисты отмечают, что в злоумышленники, вероятно, присутствовали в сети Cognizant много недель и постепенно продвигались все дальше, компрометируя все больше систем. Кроме того, Bleeping Computer напоминает, что перед развертыванием шифровальщика операторы Maze всегда крадут файлы компаний, а затем используют похищенную информацию против пострадавших в качестве дополнительного рычага давления. Так, вымогатели угрожают обнародовать украденные данные, если жертва не заплатит. К сожалению, эти угрозы нельзя назвать пустыми, так как у группировки есть специальный сайт, где действительно публикуются данные компаний, которые отказались платить.