CognizantMazeランサムウェア攻撃について知っておくべきこと

重要な仕事用メールを書いて、突然すべてにアクセスできなくなったと想像してみてください。または、コンピューターを復号化するためにビットコインを要求する悪質なエラーメッセージを受信します。さまざまなシナリオが考えられますが、すべてのランサムウェア攻撃で同じことが1つあります。攻撃者は、アクセスを取り戻す方法について常に指示を出します。もちろん、唯一の落とし穴は、最初に多額の身代金を前もって提供しなければならないということです。

「迷路」として知られる壊滅的なタイプのランサムウェアが、サイバーセキュリティの世界を駆け巡っています。 CognizantMazeランサムウェアについて知っておくべきことは次のとおりです。

迷路ランサムウェアとは何ですか?

Mazeランサムウェアは、Windows株の形で提供され、盗まれたデータの復号化と回復の見返りとして、大量のビットコインまたは暗号通貨を要求するスパムメールやエクスプロイトキットを通じて配布されます。

電子メールは、「Verizonの請求書を表示する準備ができています」や「荷物の配達を逃した」など、一見無害に見える件名で届きますが、悪意のあるドメインから発信されています。 Mazeは、企業ネットワークに侵入するさまざまなグループと利益を共有する開発者のネットワークを通じて動作するアフィリエイトベースのランサムウェアであるという噂があります。

同様の攻撃からの露出を保護および制限するための戦略を考え出すには、CognizantMazeを検討する必要があります…

CognizantMazeランサムウェア攻撃

2020年4月、フォーチュン500企業でITサービスの最大のグローバルプロバイダーの1つであるCognizantは、サービス全体に甚大な混乱を引き起こした悪質なMaze攻撃の犠牲者になりました。

この攻撃によって実行された内部ディレクトリの削除により、Cognizantの従業員数名が通信の中断に苦しみ、営業チームはクライアントと通信する方法がなく、その逆もありませんでした。

コロナウイルスの大流行により、会社が従業員をリモートで作業するように移行しているときにCognizantのデータ侵害が発生したという事実は、それをより困難なものにしました。 CRNの報告によると、電子メールへのアクセスが失われたため、従業員は同僚に連絡するための他の手段を見つけることを余儀なくされました。

「誰もランサムウェア攻撃に対処することを望んでいません」と、CognizantのCEOであるBrianHumphriesは述べています。 「私は個人的に誰もがそれに対して本当に不浸透性であるとは思いませんが、違いはあなたがそれを管理する方法です。そして、私たちはそれを専門的かつ成熟して管理しようとしました。」

同社は、主要なサイバーセキュリティ専門家とその内部ITセキュリティチームの助けを借りて、状況を急速に不安定にしました。 Cognizantのサイバー攻撃は法執行機関にも報告され、Cognizantのクライアントには侵入の痕跡(IOC)に関する最新情報が常に提供されていました。

しかし、同社は攻撃により多大な経済的損害を被り、最大で5,000万ドルから7,000万ドルの収益の損失をもたらしました

なぜ迷路ランサムウェアは二重の脅威なのですか?

ランサムウェアの影響を受けるのはそれほど悪くないかのように、メイズ攻撃の発明者は犠牲者が戦うために余分なひねりを加えました。 「二重恐喝」として知られる悪意のある戦術は、被害者が協力してランサムウェアの要求を満たすことを拒否した場合、侵害されたデータの漏洩で脅かされる迷路攻撃で導入されます。

この悪名高いランサムウェアは、従業員のネットワークアクセスをシャットダウンするだけでなく、ネットワークデータ全体のレプリカを作成し、それを使用して被害者を悪用し、身代金を要求するため、正しく「二重脅威」と呼ばれます。

残念ながら、迷路の作成者による圧力戦術はここで終わりではありません。最近の調査によると、Mazeランサムウェアの背後にあるグループであるTA2101は、非協力的な被害者全員を一覧表示する専用のWebサイトを公開し、盗まれたデータサンプルを罰の形で頻繁に公開しています。

迷路ランサムウェアインシデントを制限する方法

ランサムウェアのリスクを軽減および排除することは、さまざまな戦略を組み合わせて、各ユーザーケースと個々の組織のリスクプロファイルに基づいてカスタマイズする多面的なプロセスです。迷路の攻撃を阻止するのに役立つ最も人気のある戦略は次のとおりです。

アプリケーションのホワイトリストを適用する

アプリケーションホワイトリストは、事前に承認されたプログラムまたはソフトウェアのみを実行し、他のすべてはデフォルトでブロックされるようにするプロアクティブな脅威軽減手法です。

この手法は、悪意のあるコードを実行する違法な試みを特定するのに非常に役立ち、不正なインストールを防ぐのに役立ちます。

パッチアプリケーションとセキュリティの欠陥

セキュリティ上の欠陥は、攻撃者による操作や悪用を防ぐために、発見されたらすぐにパッチを適用する必要があります。欠陥の重大度に基づいてパッチを迅速に適用するための推奨される時間枠は次のとおりです。

  • 極端なリスク:パッチがリリースされてから48時間以内。
  • 高リスク:パッチがリリースされてから2週間以内。
  • 中リスクまたは低リスク:パッチがリリースされてから1か月以内。

MicrosoftOfficeマクロ設定を構成する

マクロは日常的なタスクを自動化するために使用されますが、有効にすると、悪意のあるコードをシステムまたはコンピューターに転送するための簡単なターゲットになる場合があります。最善のアプローチは、可能であればそれらを無効にしておくか、使用する前にそれらを評価およびレビューすることです。

アプリケーションの強化を採用する

アプリケーションの強化は、アプリケーションを保護し、セキュリティの追加レイヤーを適用してアプリケーションを盗難から保護する方法です。 Javaアプリケーションはセキュリティの脆弱性が非常に高く、攻撃者がエントリポイントとして使用する可能性があります。アプリケーションレベルでこの方法を採用することにより、ネットワークを保護することが不可欠です。

管理者権限を制限する

管理者アカウントはすべてにアクセスできるため、管理者権限は十分に注意して処理する必要があります。アクセスとアクセス許可を設定するときは、常に最小特権の原則(POLP)を使用してください。これは、Mazeランサムウェアやサイバー攻撃を軽減するための不可欠な要素になる可能性があるためです。

パッチオペレーティングシステム

経験則として、極端なリスクの脆弱性を持つアプリケーション、コンピューター、およびネットワークデバイスは、48時間以内にパッチを適用する必要があります。また、最新バージョンのオペレーティングシステムのみが使用されていることを確認し、サポートされていないバージョンを絶対に回避することも重要です。

多要素認証を実装する

多要素認証(MFA)は、オンラインバンキングや機密情報の使用を必要とするその他の特権アクションなどのリモートアクセスソリューションにログインするために複数の承認されたデバイスが必要なため、セキュリティの層を追加します。

ブラウザを保護する

ブラウザが常に更新され、ポップアップ広告がブロックされ、ブラウザの設定によって不明な拡張機能がインストールされないようにすることが重要です。

アドレスバーをチェックして、アクセスしているWebサイトが正当であるかどうかを確認します。 HTTPSは安全ですが、HTTPはそれほど安全ではないことを覚えておいてください。

関連:ブラウザの組み込みツールを使用して疑わしいリンクを検査する方法

電子メールセキュリティを採用する

Mazeランサムウェアの主な入力方法は、電子メールです。

多要素認証を実装して、セキュリティの層を追加し、パスワードの有効期限を設定します。また、不明なソースからの電子メールを開かないように、または少なくとも疑わしい添付ファイルなどをダウンロードしないように、自分自身とスタッフをトレーニングしてください。電子メール保護ソリューションに投資することで、電子メールを安全に送信できます。

定期的なバックアップを作成する

データのバックアップは、災害復旧計画の不可欠な部分です。攻撃が発生した場合、成功したバックアップを復元することで、ハッカーによって暗号化された元のバックアップデータを簡単に復号化できます。自動バックアップを設定し、従業員用に一意で複雑なパスワードを作成することをお勧めします。

影響を受けるエンドポイントと資格情報に注意を払う

大事なことを言い忘れましたが、ネットワークエンドポイントのいずれかがMazeランサムウェアの影響を受けている場合は、それらで使用されているすべての資格情報をすばやく特定する必要があります。すべてのエンドポイントが利用可能であるか、ハッカーによって侵害されていると常に想定してください。 Windowsイベントログは、侵害後のログオンの分析に役立ちます。

関連:ランサムウェアに見舞われないようにする7つの方法

コグニザントメイズアタックに夢中?

Cognizantの違反により、ITソリューションプロバイダーは莫大な財務およびデータの損失から回復するために奮闘しました。しかし、サイバーセキュリティのトップエキスパートの助けを借りて、同社はこの悪質な攻撃からすぐに回復しました。

このエピソードは、ランサムウェア攻撃がいかに危険であるかを証明しました。

迷路のほかに、悪質な脅威アクターによって毎日実行される他のランサムウェア攻撃が多数あります。良いニュースは、デューデリジェンスと厳格なセキュリティ慣行が整っているため、どの企業もこれらの攻撃を攻撃する前に簡単に軽減できることです。