Imagínese escribir un correo electrónico de trabajo importante y perder de repente el acceso a todo. O recibir un mensaje de error vicioso exigiendo que bitcoin descifre su computadora. Puede haber muchos escenarios diferentes, pero una cosa sigue siendo la misma para todos los ataques de ransomware: los atacantes siempre brindan instrucciones sobre cómo recuperar su acceso. Por supuesto, el único inconveniente es que primero debe proporcionar una cantidad considerable de rescate por adelantado.
Un tipo devastador de ransomware conocido como "Laberinto" está circulando en el mundo de la ciberseguridad. Esto es lo que necesita saber sobre el ransomware Cognizant Maze.
¿Qué es el Maze Ransomware?
Maze ransomware viene en forma de una cepa de Windows, distribuida a través de correos electrónicos no deseados y kits de explotación exigiendo grandes cantidades de bitcoins o criptomonedas a cambio del descifrado y recuperación de los datos.
Los correos electrónicos llegan con líneas de asunto aparentemente inocentes como "Su factura de Verizon está lista para ver" o "Entrega de paquete perdido" pero se originan a través de dominios maliciosos. Se rumorea que Maze es un ransomware basado en afiliados que opera a través de una red de desarrolladores que comparten las ganancias con diferentes grupos que se infiltran en las redes corporativas.
Para idear estrategias para proteger y limitar la exposición a ataques similares, deberíamos reflexionar sobre Cognizant Maze...
El ataque de Cognizant Maze Ransomware
En abril de 2020, Cognizant, una empresa de Fortune 500 y uno de los mayores proveedores mundiales de TI servicios, se convirtió en víctima del feroz ataque Maze que causó inmensas interrupciones del servicio en el tablero.
Debido a la eliminación de directorios internos realizada por este ataque, varios empleados de Cognizant sufrieron interrupciones de la comunicación, y el equipo de ventas se quedó desconcertado sin forma de comunicarse con los clientes y viceversa al revés.
El hecho de que la violación de datos de Cognizant ocurriera cuando la empresa estaba transfiriendo a los empleados para trabajar de forma remota debido a la pandemia de Coronavirus lo hizo más desafiante. Según el informe de CRN, los empleados se vieron obligados a buscar otros medios para ponerse en contacto con sus compañeros de trabajo debido a la pérdida de acceso al correo electrónico.
"Nadie quiere enfrentarse a un ataque de ransomware", dijo el director ejecutivo de Cognizant, Brian Humphries. “Personalmente, no creo que nadie sea realmente inmune a ello, pero la diferencia es cómo se gestiona. Y tratamos de gestionarlo de forma profesional y madura ".
La empresa desestabilizó rápidamente la situación al adquirir la ayuda de los principales expertos en ciberseguridad y sus equipos internos de seguridad de TI. El ciberataque de Cognizant también se informó a las agencias de aplicación de la ley y los clientes de Cognizant recibieron actualizaciones constantes sobre los Indicadores de Compromiso (IOC).
Sin embargo, la compañía incurrió en daños financieros sustanciales debido al ataque, acumulando una enorme cantidad $ 50- $ 70 millones en ingresos perdidos.
¿Por qué Maze Ransomware es una doble amenaza?
Como si verse afectado por Ransomware no fuera lo suficientemente malo, los inventores del ataque Maze le dieron un giro adicional a las víctimas. Una táctica maliciosa conocida como "doble extorsión" se introduce con un ataque de laberinto donde las víctimas son amenazados con una fuga de sus datos comprometidos si se niegan a cooperar y cumplir con el ransomware demandas.
Este notorio ransomware se denomina con razón una "doble amenaza" porque, además de cerrar el acceso a la red para empleados, también crea una réplica de todos los datos de la red y la utiliza para explotar y atraer a las víctimas para que conozcan el rescate.
Desafortunadamente, las tácticas de presión de los creadores de Maze no terminan aquí. Investigaciones recientes han indicado que TA2101, un grupo detrás del ransomware Maze, ahora ha publicado un sitio web dedicado que enumera a todas sus víctimas que no cooperaron y publica con frecuencia sus muestras de datos robados como una forma de castigo.
Cómo limitar los incidentes de Maze Ransomware
Mitigar y eliminar los riesgos del ransomware es un proceso multifacético en el que varios Las estrategias se combinan y personalizan en función de cada caso de usuario y el perfil de riesgo de un individuo. organización. Estas son las estrategias más populares que pueden ayudar a detener un ataque de laberinto en seco.
Hacer cumplir la lista blanca de aplicaciones
La lista blanca de aplicaciones es una técnica proactiva de mitigación de amenazas que permite que solo se ejecuten programas o software preautorizados, mientras que todos los demás están bloqueados de forma predeterminada.
Esta técnica ayuda enormemente a identificar intentos ilegales de ejecutar código malicioso y ayuda a prevenir instalaciones no autorizadas.
Aplicaciones de parche y fallas de seguridad
Las fallas de seguridad deben repararse tan pronto como se descubran para evitar la manipulación y el abuso por parte de los atacantes. A continuación, se muestran los plazos recomendados para aplicar los parches con prontitud según la gravedad de las fallas:
- Riesgo extremo: dentro de las 48 horas posteriores al lanzamiento del parche.
- Alto riesgo: dentro de las dos semanas posteriores al lanzamiento del parche.
- Riesgo moderado o bajo: en el plazo de un mes desde el lanzamiento de un parche.
Configurar las opciones de macros de Microsoft Office
Las macros se utilizan para automatizar tareas de rutina, pero a veces pueden ser un objetivo fácil para transportar código malicioso a un sistema o computadora una vez habilitadas. El mejor enfoque es mantenerlos desactivados si es posible o hacer que los evalúen y revisen antes de usarlos.
Emplear el endurecimiento de la aplicación
El endurecimiento de aplicaciones es un método para proteger sus aplicaciones y aplicar capas adicionales de seguridad para protegerlas contra robos. Las aplicaciones Java son muy propensas a las vulnerabilidades de seguridad y los actores de amenazas pueden utilizarlas como puntos de entrada. Es imperativo proteger su red empleando esta metodología a nivel de aplicación.
Restringir privilegios administrativos
Los privilegios administrativos deben manejarse con mucha precaución ya que una cuenta de administrador tiene acceso a todo. Emplee siempre el principio de privilegio mínimo (POLP) al configurar accesos y permisos, ya que puede ser un factor integral para mitigar el ransomware Maze o cualquier ciberataque.
Sistemas operativos de parche
Como regla general, todas las aplicaciones, computadoras y dispositivos de red con vulnerabilidades de riesgo extremo deben repararse en un plazo de 48 horas. También es vital asegurarse de que solo se utilicen las últimas versiones de los sistemas operativos y evitar las versiones no compatibles a toda costa.
Implementar la autenticación multifactor
La autenticación multifactor (MFA) agrega una capa adicional de seguridad ya que se requieren múltiples dispositivos autorizados para iniciar sesión a soluciones de acceso remoto como banca en línea o cualquier otra acción privilegiada que requiera el uso de información confidencial información.
Asegure sus navegadores
Es importante asegurarse de que su navegador esté siempre actualizado, los anuncios emergentes estén bloqueados y la configuración de su navegador evite la instalación de extensiones desconocidas.
Verifique si los sitios web que está visitando son legítimos revisando la barra de direcciones. Solo recuerde, HTTPS es seguro, mientras que HTTP lo es considerablemente menos.
Relacionado: Cómo inspeccionar enlaces sospechosos con las herramientas integradas de su navegador
Si encuentra un enlace sospechoso, compruébelo utilizando las herramientas disponibles en su navegador.
Emplear seguridad de correo electrónico
El principal método de entrada para el ransomware Maze es por correo electrónico.
Implemente la autenticación de múltiples factores para agregar una capa adicional de seguridad y establecer fechas de vencimiento para las contraseñas. Además, capacítese a usted mismo y al personal para que nunca abran correos electrónicos de fuentes desconocidas o al menos no descarguen archivos adjuntos sospechosos. Invertir en una solución de protección de correo electrónico garantiza la transmisión segura de sus correos electrónicos.
Realice copias de seguridad periódicas
Las copias de seguridad de datos son una parte integral de un plan de recuperación ante desastres. En caso de un ataque, al restaurar copias de seguridad exitosas, puede descifrar fácilmente los datos originales de la copia de seguridad que fueron cifrados por los piratas informáticos. Es una buena idea configurar copias de seguridad automatizadas y crear contraseñas únicas y complejas para sus empleados.
Preste atención a los endpoints y credenciales afectados
Por último, pero no menos importante, si alguno de los puntos finales de su red se ha visto afectado por el ransomware Maze, debe identificar rápidamente todas las credenciales utilizadas en ellos. Asuma siempre que todos los puntos finales estaban disponibles y / o comprometidos por los piratas informáticos. El registro de eventos de Windows será útil para el análisis de inicios de sesión posteriores al compromiso.
Relacionado: 7 formas de evitar ser golpeado por ransomware
¿Aturdido por el Cognizant Maze Attack?
La brecha de Cognizant dejó al proveedor de soluciones de TI luchando por recuperarse de las inmensas pérdidas financieras y de datos. Sin embargo, con la ayuda de los mejores expertos en ciberseguridad, la empresa se recuperó rápidamente de este feroz ataque.
Este episodio demostró cuán peligrosos pueden ser los ataques de ransomware.
Además del Laberinto, hay una plétora de otros ataques de ransomware llevados a cabo por agresores a diario. La buena noticia es que, con la debida diligencia y estrictas prácticas de seguridad, cualquier empresa puede mitigar fácilmente estos ataques antes de que ocurran.
NetWalker hace que todos los archivos sean inaccesibles, entonces, ¿cómo puede proteger su negocio?
- Internet
Kinza es una entusiasta de la tecnología, escritora técnica y autoproclamada geek que reside en el norte de Virginia con su esposo y sus dos hijos. Con una licenciatura en redes informáticas y numerosas certificaciones de TI en su haber, trabajó en la industria de las telecomunicaciones antes de aventurarse en la redacción técnica. Con un nicho en temas de ciberseguridad y basados en la nube, disfruta ayudar a los clientes a cumplir con sus diversos requisitos de redacción técnica en todo el mundo. En su tiempo libre, le gusta leer ficción, blogs de tecnología, elaborar ingeniosos cuentos para niños y cocinar para su familia.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Un paso más…!
Confirme su dirección de correo electrónico en el correo electrónico que le enviamos.