IT-Dienstleistungsriese Cognizant von ‚Maze‘-Ransomware betroffen, Kunden sehen sich Störungen gegenüber

Der IT-Riese Cognizant Technology Solutions Corp. bestätigte am Samstag, dass er Opfer des Cyberangriffs der „Maze“-Ransomware wurde, der zu Dienstunterbrechungen für seine Kunden führte.

„Cognizant kann bestätigen, dass ein Sicherheitsvorfall, der unsere internen Systeme betrifft und Dienstunterbrechungen für einige unserer Kunden verursacht, das Ergebnis eines Maze-Ransomware-Angriffs ist“, schrieb Cognizant in einem Presseblog, der etwa 300.000 Mitarbeiter beschäftigt und über 15 Milliarden Dollar Umsatz erzielt.

Das Unternehmen gab an, dass es alle seine Kunden über den Angriff informiert hat und Maßnahmen ergreift, um den Vorfall einzudämmen. Cognizant gab jedoch nicht bekannt, wie viele Kundensysteme von dem Angriff betroffen waren.

„Unsere internen Sicherheitsteams, ergänzt durch führende Cyber-Abwehrfirmen, ergreifen aktiv Maßnahmen, um diesen Vorfall einzudämmen. Cognizant hat auch mit den zuständigen Strafverfolgungsbehörden Kontakt aufgenommen“, fügte das Unternehmen hinzu.

„Wir stehen in fortlaufendem Kontakt mit unseren Kunden und haben ihnen Indikatoren für Kompromittierungen (IOCs) und andere technische Informationen defensiver Natur zur Verfügung gestellt.“

Das Hauptziel eines bösartigen Ransomware-Angriffs besteht darin, alle Dateien, die es in einem infizierten System finden kann, zu verschlüsseln und dann hohe Zahlungen zu verlangen, um die Dateien wiederherzustellen.

Im Fall von Maze ist es jedoch nicht wie bei typischer Datenverschlüsselungs-Ransomware. Zunächst exfiltriert es die Daten zu den Servern der Angreifer, hält dann die gestohlenen Daten als Geisel und veröffentlicht Informationen im Internet, wenn die angegriffenen Unternehmen nicht zahlen.

Während Cognizant die Schuld für die Maze-Ransomware in seinem Presseblog eindeutig zuschreibt, hat die mit Maze verbundene Seite noch keine Daten von Cognizant veröffentlicht.

Laut einem Bericht von BleepingComputer umfassten die aufgeführten IOCs IP-Adressen von Servern und Dateihashes für die Dateien kepstl32.dll, memes.tmp und maze.dll, die bekannt dafür sind, in früheren Angriffen durch die Akteure der Maze-Ransomware verwendet worden zu sein.

Die mit Maze verbundenen Hacker haben jedoch in einer Erklärung gegenüber BleepingComputer die Verantwortung für den Cyberangriff bestritten. Die Website glaubt, dass Maze wahrscheinlich nicht über den Cyberangriff spricht, um in dieser frühen Phase Komplikationen zu vermeiden.

Laut mehreren Medienberichten waren die Stadt Pensacola in Florida, der Anbieter von Cyberversicherung Chubb Ltd. und das kanadische Bauunternehmen Bird Construction Inc. die mutmaßlichen Ziele von Maze.