Cognizant บริษัทให้บริการด้าน IT Managed รายใหญ่ของโลก ออกมายืนยันว่า เมื่อคืนวันศุกร์ที่ผ่านมา (17 เมษายน 2020) Cognizant ได้ส่งอีเมล ถึงลูกค้าเพื่อแจ้งให้ทราบว่าเครือข่ายโดนบุกรุกโดย Maze ransomware และในอีเมลได้ข้อมูล Indicators of Compromise (IOC) ไปด้วย เพื่อแจ้งให้ลูกค้าเร่งใช้ข้อมูลนี้ในการ Monitor และป้องกันระบบของตัวเองโดยด่วน เพื่อไม่ให้ลูกค้าถูก Maze ransomware เล่นงานตามไปด้วย ซึ่งในข้อมูล IOC ที่ทาง Cognizant แจ้งลูกค้า ได้ระบุถึง IP addresses ของ C&C servers และค่า hash ที่สามารถระบุได้ว่าเป็นของไฟล์ kepstl32.dll, memes.tmp และ maze.dll files ที่โดน Maze ransomware เล่นงาน

สำหรับลักษณะของ Maze ransomware นั้น ถูกออกแบบขั้นตอนการทำงานให้ซับซ้อน โดยจะขโมยข้อมูลของเหยื่อก่อน จากนั้นจึงทำการเข้ารหัสข้อมูล และสร้าง Website เพื่อแสดงข้อความเรียกค่าไถ่แล้วจะแสดงไฟล์ตัวอย่างข้อมูลที่ขโมยออกไป อีกทั้งยังถูกตั้งโปรแกรมให้ Prevent reversing (ป้องกันไม่ให้กู้คืนไฟล์ในเวอร์ชันก่อนหน้าได้ถึงแม้จะมีการ snapshots ไว้ก็ตาม) ซึ่ง ransomware ชนิดนี้สร้างปัญหาอย่างมากต่อบริษัททั่วโลก เพราะนอกจากจะเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่แล้ว แฮกเกอร์ยังใช้ ransomware ชนิดนี้ เพื่อนำข้อมูลของเหยื่อไปเปิดเผยในอินเทอร์เน็ตอีกด้วย 

การที่ Cognizant ถูกโจมตีโดย Maze ransomware ไม่ใช่แค่เพียงข้อมูลสำคัญๆ เท่านั้น แต่ข้อมูลอื่น ๆ เช่น ข้อมูลลูกค้า ก็อาจถูกขโมยออกไปด้วย และสิ่งที่น่าเป็นห่วงคือ การที่ Cognizant ให้บริการ IT managed กับผู้ใช้งานโดยทั่วไป การทำงานจึงจำเป็นต้อง remote support services เพื่อติดตั้ง agents ลงบนเครื่อง workstation ของลูกค้า ซึ่งนั่นหมายความว่าอาจถูกนำมาใช้เป็นช่องทางกระจาย Malware ออกไปสู่กลุ่มลูกค้าได้ ดังนั้นการที่ Cognizant รีบออกมายอมรับว่าถูก ransomware เล่นงานและแจ้งเตือนให้แก่ลูกค้าโดยไม่ห่วงผลกระทบด้านชื่อเสียงนั้น เพราะบริษัทจำเป็นต้องป้องกันก่อนที่จะมีความเสียหายเกิดขึ้น ซึ่งแน่นอนว่าหากเกิดความเสียหายกับลูกค้า ย่อมส่งผลกระทบต่อการบริการของ Cognizant ในอนาคตได้

ที่มา :
https://www.bleepingcomputer.com/news/security/it-services-giant-cogni และ
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ransomware-maze