Ransomware : Cognizant se dit victime de Maze

Dans un communiqué de presse publié sur son site Web, Cognizant affirmait ce samedi 18 avril avoir été victime d’une attaque de rançongiciel perpétrée par les opérateurs de Maze. Et d’expliquer que cet « incident de sécurité touchant [ses] systèmes internes » entraîne des « perturbations de service pour certains de [ses] clients ». Plus loin, l’entreprise de services numériques indique être « en communication continue avec [ses] clients » et leur avoir fourni des indicateurs de compromission « et autres informations techniques de nature défensive ». Entre les lignes, il semble ainsi clair que le risque de propagation à ceux-ci est pris très au sérieux.

Vitali Kremez, de SentinelOne, a écrit une règle Yara visant à détecter, dans les fichiers présents sur les hôtes du système d’information, les traces du passage des opérateurs de Maze. Il recommande également de se pencher sur les vecteurs d’attaque du groupe « dont les services RDP et distants ».

High alert related to the yet another ransomware attack perpetrated by the Maze group possibly affecting @Cognizant.

Reviewing & mitigating against the usual Maze TTPs (including RDP + remote services as an attack vector) is advisable.

✅Pushed #YARA↘️https://t.co/qcUY464fSf pic.twitter.com/z2zHL5apkm

— Vitali Kremez (@VK_Intel) April 18, 2020

À ce stade, le chemin emprunté par les assaillants reste inconnu. Mais certains éléments sont troublants, même s’il ne s’agit peut-être que de coïncidences. Ainsi, le premier février, l’équipe MalwareHunterTeam avait essayé d’alerter Cognizant de la compromission probable de l’un de ses collaborateurs : elle invitait l’entreprise à se tourner vers le service gratuit d’Abuse.ch, I Got Phished. Deux semaines plus tard, l’équipe revenait à la charge en indiquant que personne n’avait encore réagi. Ce qui fut finalement fait quelques instants plus tard.

Mais les opérateurs de Maze ont-ils acheté un ticket d’entrée dans le système d’information de Cognizant ? Under the Breach rappelle ainsi que, le 11 avril, un cybertruand mettait en vente un accès au système d’information d’une « énorme entreprise IT » pour 200 000 $. Une semaine plus tard, l’ESN américano-indienne faisait état d’une attaque par le ransomware Maze. Mais la veille, le cybermécréant retirait son offre.

Quoi qu’il en soit, cette attaque aura probablement grillé une autre vraie fausse entreprise utilisée pour obtenir des certificats de chiffrement valides : Go Online d.o.o. enregistrée en Slovénie. MalwareHunterTeam souligne ainsi qu’elle a été utilisée pour d’autres fichiers malicieux de type cheval de Troie. L’un d’entre eux exploite le thème de pandémie de Covid-19 pour leurrer ses cibles.