Imaginez que vous écriviez un e-mail de travail important et que vous perdiez soudainement l'accès à tout. Ou recevoir un message d'erreur vicieux demandant du bitcoin pour décrypter votre ordinateur. Il peut y avoir de nombreux scénarios différents, mais une chose reste la même pour toutes les attaques de ransomware: les attaquants fournissent toujours des instructions sur la façon de récupérer votre accès. Bien sûr, le seul hic, c'est que vous devez d'abord fournir un montant élevé de rançon à l'avance.
Un type dévastateur de ransomware connu sous le nom de «Labyrinthe» fait le tour du monde de la cybersécurité. Voici ce que vous devez savoir sur le ransomware Cognizant Maze.
Qu'est-ce que le Maze Ransomware?
Maze ransomware se présente sous la forme d'une souche Windows, distribuée via des e-mails de spam et des kits d'exploitation exigeant d'importantes quantités de bitcoin ou de crypto-monnaie en échange du décryptage et de la récupération des objets volés Les données.
Les e-mails arrivent avec des lignes d'objet apparemment innocentes telles que «Votre facture Verizon est prête à être consultée» ou «Livraison de colis manquée», mais proviennent de domaines malveillants. La rumeur veut que Maze est un ransomware basé sur les affiliés fonctionnant à travers un réseau de développeurs qui partagent les bénéfices avec différents groupes qui s'infiltrent dans les réseaux d'entreprise.
Pour trouver des stratégies pour protéger et limiter l'exposition à des attaques similaires, nous devons réfléchir au labyrinthe cognitif...
L'attaque du rançongiciel Cognizant Maze
En avril 2020, Cognizant, une société Fortune 500 et l'un des plus grands fournisseurs mondiaux d'informatique services, a été victime de l'attaque vicieuse Maze qui a provoqué d'immenses interruptions de service à travers le tableau.
En raison de la suppression des répertoires internes effectuée par cette attaque, plusieurs employés de Cognizant ont souffert de des interruptions de communication, et l'équipe de vente a été laissée perplexe sans aucun moyen de communiquer avec les clients et le vice versa.
Le fait que la violation de données Cognizant se soit produite lors de la transition des employés vers le travail à distance en raison de la pandémie de coronavirus a rendu la situation plus difficile. Selon le rapport de CRN, les employés ont été contraints de trouver d'autres moyens de contacter leurs collègues en raison de la perte d'accès aux e-mails.
«Personne ne veut être confronté à une attaque de ransomware», a déclaré Brian Humphries, PDG de Cognizant. «Personnellement, je ne crois pas que quiconque y soit vraiment insensible, mais la différence réside dans la façon dont vous le gérez. Et nous avons essayé de le gérer professionnellement et avec maturité. »
L'entreprise a rapidement déstabilisé la situation en faisant appel à des experts de premier plan en cybersécurité et à leurs équipes internes de sécurité informatique. La cyberattaque de Cognizant a également été signalée aux forces de l'ordre et les clients de Cognizant ont reçu des mises à jour constantes sur les indicateurs de compromis (IOC).
Cependant, la société a subi des dommages financiers importants en raison de l'attaque, amassant jusqu'à un énorme 50 à 70 millions de dollars de revenus perdus.
Pourquoi Maze Ransomware est-il une double menace?
Comme si être affecté par Ransomware n'était pas assez grave, les inventeurs de l'attaque Maze ont lancé une torsion supplémentaire pour les victimes. Une tactique malveillante connue sous le nom de «double extorsion» est introduite avec une attaque de labyrinthe où se trouvent les victimes menacés d'une fuite de leurs données compromises s'ils refusent de coopérer et de répondre au ransomware demandes.
Ce ransomware notoire est à juste titre qualifié de «double menace» car, outre la fermeture de l’accès au réseau pour employés, il crée également une réplique de l'ensemble des données du réseau et l'utilise pour exploiter et inciter les victimes à rencontrer les une rançon.
Malheureusement, les tactiques de pression des créateurs de Maze ne s'arrêtent pas là. Des recherches récentes ont indiqué que TA2101, un groupe derrière le ransomware Maze, a maintenant publié un site Web dédié qui répertorie toutes leurs victimes non coopératives et publie fréquemment leurs échantillons de données volés sous forme de Châtiment.
Comment limiter les incidents Maze Ransomware
Atténuer et éliminer les risques liés aux ransomwares est un processus à multiples facettes dans lequel divers les stratégies sont combinées et personnalisées en fonction de chaque cas d'utilisateur et du profil de risque d'un individu organisation. Voici les stratégies les plus populaires qui peuvent aider à arrêter une attaque Maze dans son élan.
Appliquer la liste blanche des applications
La liste blanche des applications est une technique proactive d'atténuation des menaces qui permet uniquement aux programmes ou logiciels préautorisés de s'exécuter tandis que tous les autres sont bloqués par défaut.
Cette technique aide énormément à identifier les tentatives illégales d'exécuter du code malveillant et aide à empêcher les installations non autorisées.
Applications de correctifs et failles de sécurité
Les failles de sécurité doivent être corrigées dès qu'elles sont découvertes pour empêcher la manipulation et les abus de la part des attaquants. Voici les délais recommandés pour appliquer rapidement les correctifs en fonction de la gravité des failles:
- Risque extrême: dans les 48 heures suivant la publication d'un patch.
- Risque élevé: dans les deux semaines suivant la publication d'un correctif.
- Risque modéré ou faible: dans un délai d'un mois après la publication d'un correctif.
Configurer les paramètres de macro Microsoft Office
Les macros sont utilisées pour automatiser les tâches de routine, mais peuvent parfois être une cible facile pour transporter du code malveillant dans un système ou un ordinateur une fois activées. La meilleure approche est de les garder désactivés si possible ou de les faire évaluer et réviser avant de les utiliser.
Employer le durcissement des applications
Le durcissement des applications est une méthode permettant de protéger vos applications et d'appliquer des couches de sécurité supplémentaires pour les protéger du vol. Les applications Java sont très sujettes aux vulnérabilités de sécurité et peuvent être utilisées par les acteurs de la menace comme points d'entrée. Il est impératif de protéger votre réseau en utilisant cette méthodologie au niveau de l'application.
Restreindre les privilèges administratifs
Les privilèges administratifs doivent être traités avec beaucoup de prudence car un compte administrateur a accès à tout. Utilisez toujours le principe du moindre privilège (POLP) lors de la configuration des accès et des autorisations, car cela peut être un facteur essentiel pour atténuer le ransomware Maze ou toute cyberattaque d'ailleurs.
Corriger les systèmes d'exploitation
En règle générale, toutes les applications, ordinateurs et périphériques réseau présentant des vulnérabilités à risque extrême doivent être corrigés dans les 48 heures. Il est également essentiel de s'assurer que seules les dernières versions des systèmes d'exploitation sont utilisées et d'éviter à tout prix les versions non prises en charge.
Mettre en œuvre l'authentification multifacteur
L'authentification multifacteur (MFA) ajoute une couche de sécurité supplémentaire car plusieurs appareils autorisés sont nécessaires pour se connecter aux solutions d'accès à distance telles que la banque en ligne ou toute autre action privilégiée nécessitant l'utilisation de informations.
Sécurisez vos navigateurs
Il est important de vous assurer que votre navigateur est toujours mis à jour, que les publicités pop-up sont bloquées et que les paramètres de votre navigateur empêchent l'installation d'extensions inconnues.
Vérifiez si les sites Web que vous visitez sont légitimes en vérifiant la barre d'adresse. N'oubliez pas que HTTPS est sécurisé tandis que HTTP l'est beaucoup moins.
En rapport: Comment inspecter les liens suspects à l'aide des outils intégrés de votre navigateur
Si vous rencontrez un lien suspect, vérifiez-le à l'aide des outils disponibles dans votre navigateur.
Employer la sécurité des e-mails
La principale méthode d'entrée pour le ransomware Maze est par e-mail.
Mettez en œuvre l'authentification multifacteur pour ajouter une couche de sécurité supplémentaire et définir des dates d'expiration pour les mots de passe. En outre, entraînez-vous et votre personnel à ne jamais ouvrir d'e-mails provenant de sources inconnues ou du moins à ne rien télécharger comme des pièces jointes suspectes. Investir dans une solution de protection des e-mails garantit la transmission sécurisée de vos e-mails.
Faire des sauvegardes régulières
Les sauvegardes de données font partie intégrante d'un plan de reprise après sinistre. En cas d'attaque, en restaurant les sauvegardes réussies, vous pouvez facilement décrypter les données sauvegardées d'origine qui ont été cryptées par les pirates. C'est une bonne idée de mettre en place des sauvegardes automatisées et de créer des mots de passe uniques et complexes pour vos employés.
Faites attention aux points de terminaison et aux informations d'identification concernés
Enfin, si l'un de vos points de terminaison réseau a été affecté par le ransomware Maze, vous devez rapidement identifier toutes les informations d'identification utilisées sur eux. Supposez toujours que tous les points de terminaison étaient disponibles et / ou compromis par les pirates. Le journal des événements Windows sera utile pour l'analyse des ouvertures de session post-compromission.
En rapport: 7 façons d'éviter d'être touché par un ransomware
Étourdi par l'attaque du labyrinthe cognitif?
La faille Cognizant a laissé le fournisseur de solutions informatiques se démener pour récupérer d'immenses pertes financières et de données. Cependant, avec l'aide des meilleurs experts en cybersécurité, la société s'est rapidement remise de cette attaque vicieuse.
Cet épisode a prouvé à quel point les attaques de ransomwares peuvent être dangereuses.
Outre le labyrinthe, il existe une pléthore d'autres attaques de ransomwares menées quotidiennement par des acteurs malveillants. La bonne nouvelle, c'est qu'avec une diligence raisonnable et des pratiques de sécurité strictes, toute entreprise peut facilement atténuer ces attaques avant qu'elles ne frappent.
NetWalker rend tous les fichiers inaccessibles, alors comment pouvez-vous protéger votre entreprise?
- l'Internet
Kinza est une passionnée de technologie, une rédactrice technique et une geek autoproclamée qui réside dans le nord de la Virginie avec son mari et ses deux enfants. Avec un BS en réseautage informatique et de nombreuses certifications informatiques à son actif, elle a travaillé dans l'industrie des télécommunications avant de se lancer dans la rédaction technique. Avec une niche dans la cybersécurité et les sujets basés sur le cloud, elle aime aider ses clients à répondre à leurs diverses exigences de rédaction technique à travers le monde. Dans ses temps libres, elle aime lire de la fiction, des blogs technologiques, créer des histoires amusantes pour enfants et cuisiner pour sa famille.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives!
Un pas de plus…!
Veuillez confirmer votre adresse e-mail dans l'e-mail que nous venons de vous envoyer.