Der IT-Riese Cognizant bestätigt die Betroffenheit von Ransomware bei seinen Kunden. Konkret bedeutet dies das Eindringen von Malware in die Server von Cognizant. Die Server wurden also gehackt. Dies hat eine Unterbrechung der Serviceleistungen bei den Kunden des IT-Riesen zur Folge.
Am Samstag, dem 18. April 2020 veröffentlichte Cognizant ein Statement. Dieses bestätigt den Sicherheitsvorfall, der die internen Systeme des IT-Riesen lahmlegt. Bei einigen der Kunden von Cognizant kann es im Zusammenhang damit zu Serviceunterbrechungen führen. Cognizant hat in diesem Statement zudem bestätigt, dass es sich um das Ergebnis von einem Maze-Ransomwareangriff handelt.
Cognizant hat über 290.000 Mitarbeiter und macht jährlich ungefähr 17 Milliarden US-Dollar Umsatz. Es handelt sich um einen US-amerikanischen IT-Dienstleiter. Hauptsitz der Firma ist in Teaneck, New Jersey. Der wichtigste Standort hingegen ist in Indien, genauer in Chennai. Dort arbeitet auch die überwiegende Anzahl der 290.000 Angestellten. Seit 01.04.2019 ist Brian Humphries der CEO der Firma.
Die Kommunikation der Firma findet nur sehr zurückhaltend statt. Das Statement wurde nicht in Social Media veröffentlicht. Auch Nachfragen aufgrund des Statements werden nicht beantwortet. Beispielsweise die Agentur “Reuters” hat auf ihre diesbezügliche Nachfrage keine Rückmeldung erhalten.
Stattdessen hat das Unternehmen gemeldet, dass es dabei ist, den Vorfall und die damit entstandenen Probleme einzudämmen. Dafür wurden Cyber-Security-Firmen beauftragt, die aktuell die notwendigen Schritte unternehmen. Des Weiteren arbeitet Cognizant eng mit den ansässigen Strafverfolgungsbehörden zusammen, damit die verantwortlichen Täter schnellstmöglich gefasst werden können.
Auch mit den eigenen Kunden steht Cognizant in direktem Austausch. Die Kunden wurden zudem mit ausreichend Informationen zu dem Vorfall, sowie mit Indikatoren zur Feststellung der Betroffenheit versorgt. Darüber hinaus gab es weitere Informationen über die technische defensive Natur.
All diese Massnahmen werden seit dem 17. April durchgeführt. Cognizant verspricht sich dadurch natürlich eine Aufklärung des Problems und versucht die eigenen Kunden bestmöglich vor dem Angriff zu schützen.
Die erwähnten Indikatoren für die Kunden von Cognizant beinhalten IP-Adressen von Servern, sowie Datei-Hashes. Diese sind für die Dateien memes.tmp, maze.dll und kepstl32.dll bestimmt. Bei früheren Angriffen wurden diese IP-Adressen und Dateien verwendet. Dies gab das Sicherheitsprogramm McAfee bekannt. Durch die Veröffentlichung dieser IP-Adressen und Dateien sollen die Kunden von Cognizant geschützt werden.
Die von den Hackern genutzt Maze-Ransomware ist eine komplexe Software. Sie war laut Security-Forschern vorher als “ChaCha-Ransomware” bekannt. Entdeckt wurde die schädliche Software erstmals im Mai 2019.
Die Maze-Angreifer stehlen bei ihren Angriffen unverschlüsselte Daten, die sie dann anschliessend verschlüsseln. Mit diesen Daten drohen sie dann den Opfern. Wenn diese nicht zahlen, so werden die gestohlenen Informationen im Internet veröffentlicht. Es handelt sich hier also um einen Fall moderner Erpressung mit persönlichen Daten, die im Internet gestohlen worden sind.
Für eine IT-Dienstleister wie Cognizant wäre es natürlich verheerend, wenn Kundeninformationen veröffentlich werden würden. Auch die Drohung an sich und die Möglichkeit der Entwendung der Daten ist für den IT-Riesen sehr heikel.
Zu den Dienstleistungen von Cognizant gehört es zudem, per Fernzugriff auf die Computer der Kunden zuzugreifen. Dies geschieht über Agenten oder Endpunkt-Clients. Diese sind auf den Workstations installiert und mit Hilfe von ihnen werden beispielsweise Software-Updates an die Kunden verteilt. Auch Support-Dienste werden von Cognizant auf diesem Wege geleistet.
Dieser Zugriff auf die Systeme der Kunden ist im Zusammenhang mit dem Hackerangriff natürlich sehr gefährlich.
Was genau die Angreifer bei ihrem Angriff auf die Netzwerke von Cognizant erbeutet haben, ist unbekannt. Genauso ist unklar, wie lange sich die Angreifer in den Netzwerken verbreiten konnten und wie weit sie dabei gekommen sind.
Es gibt diesbezüglich einen Tweet von einem anonymen Autor. Dieser beschreibt darin, dass er schon vorher der Mitteilung von Cognizant von einer Forderung erfahren hat. Diese umfasst 200.000 US-Dollar und ist an eine grosse IT-Firma gerichtet. Dies kann sich durchaus auf Cognizant und den Angriff beziehen.
Twitter hive mind, please help!
Known threat actor selling access to a huge IT company, I want to figure which one it is.
Notable information we know about its clients:
1. Event organization company, largest in its country.
2. Luxury hotel chain with 6 properties.
(1/2) pic.twitter.com/S81BWoDmtG— Under the Breach 🦠 (@underthebreach) April 11, 2020
“Techcrunch” hat bekannt gemacht, dass eine bestimmte Website mit den Angreifern in Verbindung gebracht werden kann. Auf dieser gibt es allerdings aktuell noch keinerlei Anhaltspunkte auf den Maze-Angriff. Es wurden keinerlei Daten, die mit Cognizant in Zusammenhang stehen, auf dieser Website veröffentlich, genauso wenig wurden derartige Inhalte auf der Website beworben. Aktuell gibt es auf dieser Website keinerlei Hinweise auf eine Verbindung zu dem erfolgten Angriff.
Die für diese Website verantwortlichen Maze-Angreifer dementieren ohnehin, hinter dem Angriff zu stehen. Dies gaben sie gegenüber “Bleepin Computer” an. Dieses Dementi muss natürlich keinesfalls bedeuten, dass die Angreifer nicht trotzdem dafür verantwortlich sind.
Die Hacker, die bei Cognizant eingestiegen sind, waren bereits mehrfach in dieser Hinsicht erfolgreich. Es gab bereits ähnliche Angriffe in Deutschland, Italien oder Pensacola (eine Stadt in den USA). Vor den Angreifern wurde bereits durch das FBI gewarnt. Doch auch dies Warnung konnte die Maze-Angreifer nicht daran hindern, bei Cognizant so aufsehenerregend einzusteigen und persönliche Kundendaten zu entwenden.
Auch in der Zukunft können solche Angriffe durchaus stattfinden, wenn die Verantwortlichen nicht gefasst werden. Dies ist bei solchen Cyberangriffen allerdings sehr schwierig.