Nadie está a salvo de un ciberataque, ni siquiera las compañías de ciberseguridad. Cognizant, una importante compañía de servicios de seguridad informática con cerca de 300 mil empleados en todo el mundo, ha sufrido un ciberataque, presuntamente perpetrado por los actores de amenaza detrás de la peligrosa variante de ransomware Maze.
Cognizant trabaja con miles de organizaciones a nivel mundial, administrando de forma remota servicios relacionados con la seguridad informática de sus clientes, incluyendo actualizaciones de software, parches de seguridad, soporte y consultas.
Acorde a la firma de servicios de seguridad informática, a finales de la semana pasada comenzó a enviar emails a sus clientes, informándoles acerca del ataque e incluyendo una lista preliminar de indicadores de compromiso (datos que confirman el ataque). Cognizant informó a sus clientes que podrían emplear esta información para monitorear sus sistemas por su cuenta, al menos hasta que se resuelve este incidente.
Entre los indicadores de compromiso detectados por Cognizant se encontraban múltiples direcciones IP de servidores y archivos “hashed” para los archivos kepstl32.dll, memes.tmp y maze.dll; al parecer, estas direcciones IP y archivos fueron empleados en ataques anteriores a este incidente. Por el momento no se han revelado más detalles sobre el incidente.
Una firma de servicios de seguridad informática afirma haber contactado a los operadores del ransomware Maze, quienes han negado su participación en este incidente. En ocasiones anteriores, los operadores de este ransomware se han negado a compartir información sobre sus víctimas recientes y anteriores, al menos hasta que las negociaciones por el rescate se concreten, por lo que los expertos creen probable que los actores de amenazas no estén dispuestos a reconocer su participación en el ataque hasta concretar un pago.
Poco después de que aparecieran los rumores sobre el ataque, la Coignizant publicó un mensaje diciendo: “Podemos confirmar que el incidente de seguridad relacionado con nuestros sistemas internos, y que está causando algunas interrupciones en los servicios de algunos de nuestros clientes, es resultado de una infección de ransomware Maze”.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), es probable que los operadores de ransomware hayan permanecido en las redes de la compañía atacada durante semanas, por lo que aún falta investigar cómo consiguieron acceso a las redes corporativas. Por el momento, sólo se ha confirmado que los atacantes obtuvieron las credenciales de administrador en la red, completando la instalación del ransomware utilizando herramientas como PowerShell Empire.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad