Cognizant ยืนยันตกเป็นเหยื่อ Maze ransomware แล้ว

Cognizant บริษัทให้บริการด้าน IT Managed รายใหญ่ของโลก ออกมายืนยันว่า เมื่อคืนวันศุกร์ที่ผ่านมา (17 เมษายน 2020) Cognizant ได้ส่งอีเมล ถึงลูกค้าเพื่อแจ้งให้ทราบว่าเครือข่ายโดนบุกรุกโดย Maze ransomware และในอีเมลได้ข้อมูล Indicators of Compromise (IOC) ไปด้วย เพื่อแจ้งให้ลูกค้าเร่งใช้ข้อมูลนี้ในการ Monitor และป้องกันระบบของตัวเองโดยด่วน เพื่อไม่ให้ลูกค้าถูก Maze ransomware เล่นงานตามไปด้วย ซึ่งในข้อมูล IOC ที่ทาง Cognizant แจ้งลูกค้า ได้ระบุถึง IP addresses ของ C&C servers และค่า hash ที่สามารถระบุได้ว่าเป็นของไฟล์ kepstl32.dll, memes.tmp และ maze.dll files ที่โดน Maze ransomware เล่นงาน

สำหรับลักษณะของ Maze ransomware นั้น ถูกออกแบบขั้นตอนการทำงานให้ซับซ้อน โดยจะขโมยข้อมูลของเหยื่อก่อน จากนั้นจึงทำการเข้ารหัสข้อมูล และสร้าง Website เพื่อแสดงข้อความเรียกค่าไถ่แล้วจะแสดงไฟล์ตัวอย่างข้อมูลที่ขโมยออกไป อีกทั้งยังถูกตั้งโปรแกรมให้ Prevent reversing (ป้องกันไม่ให้กู้คืนไฟล์ในเวอร์ชันก่อนหน้าได้ถึงแม้จะมีการ snapshots ไว้ก็ตาม) ซึ่ง ransomware ชนิดนี้สร้างปัญหาอย่างมากต่อบริษัททั่วโลก เพราะนอกจากจะเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่แล้ว แฮกเกอร์ยังใช้ ransomware ชนิดนี้ เพื่อนำข้อมูลของเหยื่อไปเปิดเผยในอินเทอร์เน็ตอีกด้วย 

การที่ Cognizant ถูกโจมตีโดย Maze ransomware ไม่ใช่แค่เพียงข้อมูลสำคัญๆ เท่านั้น แต่ข้อมูลอื่น ๆ เช่น ข้อมูลลูกค้า ก็อาจถูกขโมยออกไปด้วย และสิ่งที่น่าเป็นห่วงคือ การที่ Cognizant ให้บริการ IT managed กับผู้ใช้งานโดยทั่วไป การทำงานจึงจำเป็นต้อง remote support services เพื่อติดตั้ง agents ลงบนเครื่อง workstation ของลูกค้า ซึ่งนั่นหมายความว่าอาจถูกนำมาใช้เป็นช่องทางกระจาย Malware ออกไปสู่กลุ่มลูกค้าได้ ดังนั้นการที่ Cognizant รีบออกมายอมรับว่าถูก ransomware เล่นงานและแจ้งเตือนให้แก่ลูกค้าโดยไม่ห่วงผลกระทบด้านชื่อเสียงนั้น เพราะบริษัทจำเป็นต้องป้องกันก่อนที่จะมีความเสียหายเกิดขึ้น ซึ่งแน่นอนว่าหากเกิดความเสียหายกับลูกค้า ย่อมส่งผลกระทบต่อการบริการของ Cognizant ในอนาคตได้

ที่มา :
https://www.bleepingcomputer.com/news/security/it-services-giant-cogni และ
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ransomware-maze


บทความที่เกี่ยวข้อง

IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบข้อมูลบัญชี VPN ของ Fortinet กว่า 73,000 อุปกรณ์รั่วไหลทั่วโลก
พบข้อมูลบัญชี VPN ของอุปกรณ์ Fortinet รั่วไหลกว่า 73,000 รายการทั่วโลก ซึ่งอาจรวมถึงชื่อผู้ใช้ อีเมล และรหัสผ่านของผู้ใช้งานบางส่วน...
อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบเทคนิคโจมตี HTTP/2 Bomb ทำ Web Server ล่มในเวลาไม่ถึงนาที
พบช่องโหว่ใหม่ HTTP/2 Bomb ที่อาจทำให้เว็บไซต์ล่มได้ในเวลาไม่ถึงนาที แฮกเกอร์ใช้คอมพิวเตอร์เพียงเครื่องเดียวก็สามารถทำให้เซิร์ฟเวอร์ใช้ RAM จนเต็มได้ เว็บไซต์ที่ใช้ HTTP/2 หลายรายได้รับผล กระทบ...
อ่านต่อ >
IT 360º ไอที ง่ายๆ รอบๆ ตัว
พบมัลแวร์โจมตี WordPress กว่า 2,000 เว็บ ผ่านโปรไฟล์ Steam
พบมัลแวร์ใหม่โจมตีเว็บไซต์ WordPress เกือบ 2,000 แห่ง โดยแฮกเกอร์ใช้เทคนิคซ่อนคำสั่งควบคุมด้วยตัวอักษร Unicode ที่มองไม่เห็นบนโปรไฟล์ Steam เพื่อหลบเลี่ยงการตรวจจับ...
อ่านต่อ >
Scroll to Top