Cognizant und Kunden von Ransomware betroffen

20. April 2020, 10:27
  • security
  • breach
  • cognizant
  • channel
image

Der IT-Riese bestätigt das Eindringen von komplexer Malware und "Service-Unterbrechungen" bei Kunden.

Cognizant wurde gehackt. "Cognizant kann bestätigen, dass ein Sicherheitsvorfall, der unsere internen Systeme betrifft und bei einigen unserer Kunden zu Serviceunterbrechungen führt, das Ergebnis eines Maze-Ransomwareangriffs ist", lässt der IT-Dienstleistungsriese in einem Statement vom Samstag 18. April verlauten. 
Die US-amerikanische Firma mit über 290'000 Mitarbeitenden und rund 17 Milliarden Dollar Umsatz kommuniziert sehr zurückhaltend. Sie hat das Statement nicht in Social Media publiziert und beantwortet auch Anfragen von Agenturen wie 'Reuters' nicht.
Cognizant meldet, man unternehme mit Hilfe von Cyber-Security-Firmen Schritte zur Eindämmung des Vorfalls und arbeite mit den Strafverfolgungsbehörden zusammen. "Wir stehen in ständiger Kommunikation mit unseren Kunden und haben sie mit Indikatoren zu Kompromittierungen und anderen technischen Informationen defensiver Natur versorgt", fügte Cognizant hinzu. Dies sei seit Freitag, 17. April der Fall.
Die aufgelisteten Indikatoren beinhalten offenbar IP-Adressen von Servern und Datei-Hashes für die Dateien kepstl32.dll, memes.tmp und maze.dll. "Diese IP-Adressen und Dateien sind dafür bekannt, dass sie bei früheren Angriffen von den Maze-Ransomware-Akteuren verwendet wurden", so McAfee.
Die Maze-Ransomware ist laut den Security-Forschern eine komplexe Software, war zuvor als "ChaCha-Ransomware" bekannt und wurde im Mai 2019 entdeckt. "Das wichtigste Merkmal von Maze ist die Drohung der Malware-Autoren an die Opfer, dass die Informationen, wenn sie nicht zahlen, im Internet veröffentlichen werden", hält McAfee fest.
Das heisst, vor dem Einsatz von Ransomware stehlen die Maze-Angreifer jeweils unverschlüsselte Dateien, um diese anschliessend zu verschlüsseln.
Ob diese nun publiziert werden oder nicht, beides wäre natürlich für einen IT-Dienstleister speziell heikel. Zudem gehört es zu den Cognizant-Dienstleistungen, Kunden per Fernzugriff über Endpunkt-Clients oder Agenten, die auf deren Workstations installiert sind, Patches und Software-Updates zu verteilen und Support-Dienste zu leisten.
Wie lange und wie weit sich die Angreifer in den Cognizant-Netzwerken verbreiten konnten und was sie erbeuteten, ist aber unklar.
In einem Tweet behauptete ein anonymer "Under the Breach"-Autor, er habe mehrere Tage vor der Cognizant-Mitteilung von einer 200'000 US-Dollar-Forderung an eine "grosse IT-Firma" erfahren.
Eine Website, von der laut 'Techcrunch' bekannt ist, dass sie mit den Maze-Angreifern in Verbindung gebracht wird, habe bis anhin noch keine Daten im Zusammenhang mit Cognizant beworben oder gar veröffentlicht.
Gegenüber 'Bleeping Computer' dementieren die Maze-Angreifer, hinter der Cognizant-Attacke zu stehen.
Die Maze-Hacker waren bereits mehrfach erfolgreich, so in Italien, Deutschland oder der US-Stadt Pensacola. Deswegen warnte das FBI bereits vor einigen Monaten vor den Angreifern, die nun bei Cognizant einen aufsehenerregenden Erfolg verzeichnen.

Loading

Mehr zum Thema

image

Neue Chefin für das BSI

Die Tech-Expertin Claudia Plattner soll die Spitze des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) übernehmen, nachdem das Amt monatelang unbesetzt war.

publiziert am 7.2.2023
image

Polizei schiesst Kryptomessenger Exclu ab

Die App soll ein grosser Favorit von Kriminellen und Drogenschmugglern gewesen sein. Nun haben die Behörden die Dienste abgeschaltet, auch dank Hinweisen aus dem "Cyberbunker".

publiziert am 7.2.2023
image

EFK: Skyguide muss das Continuity Management verbessern

Im Rahmen des Programms "Virtual Center" kommt es zu grossen Veränderungen im IT-Betrieb von Skyguide. In einer zweiten Prüfung anerkennt die Finanzkontrolle zwar Fortschritte, aber beim IT Continuity Management gibt es noch viel zu tun.

publiziert am 7.2.2023
image

Uni Zürich blockiert ausländische Website-Zugriffe

Aus dem Ausland kann nicht mehr auf die Website und Mailboxen der Universität Zürich zugegriffen werden.

publiziert am 7.2.2023