Эта кибератака распространяется через спам-письма и блокирует всю вашу систему. Как вы можете защитить себя от Maze?
Представьте, что вы пишете важное рабочее письмо и вдруг теряете доступ ко всему. Или получаете злобное сообщение об ошибке, требующее биткоины для расшифровки вашего компьютера. Может быть множество различных сценариев, но одно остается неизменным для всех атак выкупного ПО – злоумышленники всегда предоставляют инструкции о том, как вернуть доступ. Конечно, единственная загвоздка заключается в том, что вы должны сначала предоставить крупную сумму выкупа
В мире кибербезопасности набирает обороты разрушительный тип программ-выкупов, известный как ‘Лабиринт’. Вот что вам нужно знать о программе Cognizant Maze ransomware
Что такое вымогательское ПО Maze?
Maze ransomware поставляется в виде штамма для Windows, распространяемого через спам-письма и наборы эксплойтов, требующих огромные суммы биткоинов или криптовалюты в обмен на расшифровку и восстановление украденных данных
Письма приходят с такими, казалось бы, невинными темами, как ‘Ваш счет от Verizon готов к просмотру’ или ‘Пропущена доставка посылки’, но отправляются через вредоносные домены. Ходят слухи, что Maze – это партнерская программа-вымогатель, действующая через сеть разработчиков, которые делят прибыль с различными группами, проникающими в корпоративные сети
Чтобы разработать стратегии защиты и ограничения воздействия подобных атак, нам следует вспомнить Cognizant Maze
Атака Cognizant Maze Ransomware
В апреле 2020 года компания Cognizant, входящая в список Fortune 500 и являющаяся одним из крупнейших мировых поставщиков ИТ-услуг, стала жертвой злостной атаки Maze, которая вызвала огромные перебои в работе всех служб
Из-за удаления внутренних каталогов, осуществленного этой атакой, несколько сотрудников Cognizant пострадали от нарушения связи, а отдел продаж остался в недоумении, не имея возможности общаться с клиентами и наоборот
Тот факт, что утечка данных Cognizant произошла, когда компания переводила сотрудников на удаленную работу в связи с пандемией коронавируса, еще больше осложнил ситуацию. Согласно отчету CRN, сотрудники были вынуждены искать другие способы связаться с коллегами из-за потери доступа к электронной почте
‘Никто не хочет иметь дело с атакой ransomware’, – сказал генеральный директор Cognizant Брайан Хамфрис.’Я лично не верю, что кто-то действительно неуязвим для нее, но разница в том, как вы с ней справляетесь. И мы постарались справиться с этим профессионально и зрело’
Компания быстро дестабилизировала ситуацию, заручившись помощью ведущих экспертов по кибербезопасности и своих внутренних команд ИТ-безопасности. О кибератаке Cognizant также было сообщено правоохранительным органам, а клиентам Cognizant предоставлялись постоянные обновления по индикаторам компрометации (IOC)
Однако компания понесла значительный финансовый ущерб в результате атаки, потеряв до 50-70 миллионов долларов США
Почему Maze Ransomware представляет собой двойную угрозу?
Если бы пострадать от Ransomware было недостаточно плохо, изобретатели атаки Maze добавили жертвам дополнительный поворот. Вредоносная тактика, известная как ‘двойное вымогательство’, применяется при атаке Maze, когда жертвам угрожают утечкой их скомпрометированных данных, если они откажутся сотрудничать и выполнять требования вымогателей
Эта печально известная программа-вымогатель по праву называется ‘двойной угрозой’, поскольку, помимо закрытия доступа к сети для сотрудников, она также создает копию всех сетевых данных и использует ее для эксплуатации и вымогательства выкупа у жертв
К сожалению, тактика давления со стороны создателей Maze на этом не заканчивается. Недавние исследования показали, что TA2101, группа, стоящая за программой Maze ransomware, теперь опубликовала специальный веб-сайт, на котором перечислены все их жертвы, не желающие сотрудничать, и часто публикует образцы их украденных данных в качестве наказания
Как ограничить инциденты с Maze Ransomware
Снижение и устранение рисков, связанных с ransomware, – это многогранный процесс, в котором различные стратегии комбинируются и настраиваются в зависимости от каждого случая пользователя и профиля риска отдельной организации. Вот наиболее популярные стратегии, которые могут помочь остановить атаку Maze прямо на ее пути
Применение белых списков приложений
Белые списки приложений – это проактивный метод защиты от угроз, который позволяет запускать только предварительно авторизованные программы или программное обеспечение, а все остальные блокируются по умолчанию
Эта техника помогает выявить незаконные попытки выполнения вредоносного кода и предотвратить несанкционированную установку
Патчи для приложений и недостатки безопасности
Недостатки безопасности следует исправлять сразу после их обнаружения, чтобы предотвратить манипуляции и злоупотребления со стороны злоумышленников. Ниже приведены рекомендуемые сроки оперативного применения исправлений в зависимости от серьезности дефектов:
- Крайний риск : в течение 48 часов после выпуска исправления.
- Высокий риск : в течение двух недель после выхода исправления.
- Умеренный или низкий риск : в течение одного месяца после выхода исправления.
Настройка параметров макросов Microsoft Office
Макросы используются для автоматизации рутинных задач, но иногда могут быть легкой мишенью для переноса вредоносного кода в систему или компьютер после включения. Лучше всего по возможности отключать их или оценивать и проверять их перед использованием
Усиление приложений
Усиление приложений – это метод защиты приложений и применение дополнительных уровней безопасности для защиты от кражи.Java-приложения очень подвержены уязвимостям безопасности и могут быть использованы субъектами угроз в качестве точек входа. Необходимо защитить свою сеть, используя эту методологию на уровне приложений
Ограничение административных привилегий
С административными привилегиями следует обращаться с большой осторожностью, поскольку учетная запись администратора имеет доступ ко всему. Всегда используйте принцип наименьших привилегий (POLP) при настройке доступа и разрешений, так как это может стать неотъемлемым фактором в борьбе с Maze ransomware или любой другой кибератакой
Обновление операционных систем
Как правило, все приложения, компьютеры и сетевые устройства с уязвимостями повышенного риска должны быть исправлены в течение 48 часов. Также крайне важно обеспечить использование только последних версий операционных систем и любой ценой избегать неподдерживаемых версий
Внедряйте многофакторную аутентификацию
Многофакторная аутентификация (MFA) добавляет дополнительный уровень безопасности, поскольку для входа в решения удаленного доступа, такие как онлайн-банкинг или любые другие привилегированные действия, требующие использования конфиденциальной информации, требуется несколько авторизованных устройств
Защитите свои браузеры
Важно убедиться, что ваш браузер всегда обновляется, всплывающая реклама блокируется, а настройки браузера предотвращают установку неизвестных расширений
Убедитесь, что сайты, которые вы посещаете, являются легальными, проверив адресную строку. Просто помните, что HTTPS безопасен, а HTTP значительно менее безопасен
Похожие статьи: Как проверять подозрительные ссылки с помощью встроенных инструментов браузера
Обеспечение безопасности электронной почты
Основным способом проникновения вымогательского ПО Maze является электронная почта
Внедрите многофакторную аутентификацию для дополнительного уровня безопасности и установите сроки действия паролей. Кроме того, приучите себя и сотрудников никогда не открывать электронные письма из неизвестных источников или, по крайней мере, не загружать ничего похожего на подозрительные вложения. Инвестиции в решение для защиты электронной почты гарантируют безопасную передачу ваших писем
Регулярно создавайте резервные копии
Резервное копирование данных является неотъемлемой частью плана аварийного восстановления. В случае атаки, восстановив успешные резервные копии, вы сможете легко расшифровать исходные данные, которые были зашифрованы хакерами. Нелишним будет настроить автоматическое резервное копирование и создать уникальные и сложные пароли для своих сотрудников
Обратите внимание на затронутые конечные точки и учетные данные
И последнее, но не менее важное: если какие-либо конечные точки вашей сети пострадали от вымогательской программы Maze, вам следует быстро определить все учетные данные, использовавшиеся на них. Всегда предполагайте, что все конечные точки были доступны и/или скомпрометированы хакерами. Журнал событий Windows пригодится для анализа входов в систему после компрометации
Похожие: 7 способов избежать поражения Ransomware
Ошеломлены атакой Cognizant Maze?
Unsplash.
В результате взлома Cognizant поставщик ИТ-решений был вынужден в срочном порядке восстанавливаться после огромных финансовых потерь и потери данных. Однако с помощью ведущих экспертов по кибербезопасности компания быстро оправилась от этой жестокой атаки
Этот эпизод доказал, насколько опасными могут быть атаки ransomware
Помимо ‘Лабиринта’, существует множество других атак с выкупом, ежедневно совершаемых злостными угрожающими субъектами. Хорошая новость заключается в том, что при наличии должной осмотрительности и строгих методов обеспечения безопасности любая компания может легко предотвратить эти атаки до того, как они произойдут
Комментировать