Erpressung und Datenleck

Cognizant gefangen im Labyrinth der Maze-Ransomware

Uhr
von Coen Kaat

Eine Ransomware hat Cognizant befallen. Dahinter steckt vermutlich das Schadprogramm Maze. Sollte dies der Fall sein, wurden die Daten des Anbieters von Managed Services wohl nicht nur verschlüsselt, sondern auch entwendet.

(Source: Coen Kaat)
(Source: Coen Kaat)

IT-Riese Cognizant ist Opfer einer Ransomware geworden. Mit rund 300'000 Mitarbeitenden und einem jährlichen Umsatz von über 15 Milliarden US-Dollar gehört der US-amerikanische Dienstleister zu den grössten Anbietern von Managed Services weltweit.

Das Unternehmen informierte bereits seine Kunden. Damit diese prüfen können, ob sie selbst infiziert sind, wies Cognizant auch auf mögliche Indikatoren einer Kompromittierung hin (IOC – Indicators of Compromise). Darunter IP-Adressen sowie Hashwerte für die Dateien kepstl32.dll, memes.tmp und maze.dll, wie "Bleepingcomputer" berichtet.

Sicherheitsforscher Vitali Kremez veröffentlichte eine Yara-Regel, mit der sich die Maze-DLL-Datei aufspüren lässt.

Insbesondere die letzte Datei gibt einen Hinweis darauf, wer hinter der Attacke stecken könnte: die Dateien deuten auf die Maze-Ransomware hin. Cognizant bestätigt dies auch selbst in einer Mitteilung. Die Maze-Betreiber verneinten gegenüber "Bleepingcomputer" jedoch, dafür verantwortlich zu sein. Allerdings sei es für diese Cyberkriminellen nicht ungewöhnlich, aktuelle Infektionen nicht zu besprechen, solange sie noch darauf hoffen, ein Lösegeld zu erhalten.

Sollte tatsächlich die Maze-Gruppe dafür verantwortlich sein, muss diese Cyberattacke auch als Datenleck behandelt werden. Die Cyberkriminellen entwenden nämlich immer Dateien, bevor sie durch die Ransomware verschlüsselt werden – als weiteres Druckmittel für ihre Lösegeldforderung. Gemäss dem Bericht sind dies auch keine leeren Drohungen: Die Gruppe betreibt – wie andere Ransomware-Operatoren ebenfalls – eine Website, um gestohlene Informationen zu publizieren.

View this post on Instagram

Cognizant gefangen im Labyrinth der Maze-Ransomware IT-Riese Cognizant ist Opfer einer Ransomware geworden. Mit rund 300 000 Mitarbeitenden und einem jährlichen Umsatz von über 15 Milliarden US-Dollar gehört der US-amerikanische Dienstleister zu den grössten Anbietern von Managed Services weltweit. Das Unternehmen informierte bereits seine Kunden. Damit diese prüfen können, ob sie selbst infiziert sind, wies Cognizant auch auf mögliche Indikatoren einer Kompromittierung hin (IOC – Indicators of Compromise). Darunter IP-Adressen sowie Hashwerte für die Dateien kepstl32.dll, memes.tmp und maze.dll, wie «Bleepingcomputer» berichtet. Insbesondere die letzte Datei gibt einen Hinweis darauf, wer hinter der Attacke stecken könnte: die Dateien deuten auf die Maze-Ransomware hin. Cognizant bestätigt dies auch selbst in einer Mitteilung. Die Maze-Betreiber verneinten gegenüber «Bleepingcomputer» jedoch, dafür verantwortlich zu sein. Allerdings sei es für diese Cyberkriminellen nicht ungewöhnlich, aktuelle Infektionen nicht zu besprechen, solange sie noch darauf hoffen, ein Lösegeld zu erhalten. Sollte tatsächlich die Maze-Gruppe dafür verantwortlich sein, muss diese Cyberattacke auch als Datenleck behandelt werden. Die Cyberkriminellen entwenden nämlich immer Dateien, bevor sie durch die Ransomware verschlüsselt werden – als weiteres Druckmittel für ihre Lösegeldforderung. Gemäss dem Bericht sind dies auch keine leeren Drohungen: Die Gruppe betreibt – wie andere Ransomware-Operatoren ebenfalls – eine Website, um gestohlene Informationen zu publizieren. #Cognizant #Malware #Ransomware #Maze #Cybercrime #Cybersecurity #Netzmedien

A post shared by IT-Security Blog (by IT-Markt) (@itsecurityblog) on

Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/Security tun. Der Blog wird laufend aktualisiert.

Zum Nachschlagen:

Das IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.

Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen der einzelnen Schadprogrammen steckt. Mehr auf www.it-markt.ch/MalwareABC.

Webcode
DPF8_177446

Kommentare

« Mehr