En fin de semaine dernière, Cognizant a envoyé un mail à ses clients pour indiquer avoir été victime d’un incident de sécurité, en l’occurrence provoqué par le ransomware Maze. Le fournisseur de services IT les alertait des risques de cet incident et leur a transmis une liste d’indicateurs de compromission (IoC) identifiés lors de l’enquête afin de mieux surveiller leurs systèmes. La liste comprend des adresses IP des serveurs et des fichiers hashés kepstl32.dll, memes.tmp et maze.dll. Ceux-ci sont connus, selon nos confrères de Bleepingcomputer, pour avoir été utilisés lors d’attaques précédentes par le groupe derrière le ransomware Maze.
Dans un communiqué, Cognizant explique, « nos équipes de sécurité interne, aidées par les principales entreprises de cyberdéfense, prennent activement des mesures pour contenir cet incident ». Et une plainte a été déposée. Dans un document présenté à la SEC, le fournisseur IT prévoit encore des perturbations dans son activité en raison du rançongiciel et un impact sur les résultats financiers avec des pertes auxquels s'ajoutent les coûts pour remédier au problème.
Maze peut faire beaucoup de dégâts comme le montre l’attaque récente de Bouygues Construction que l’ANSSI avait documentée avec des indices de compromissions, comme cela a été le cas pour Cognizant. Dans le cas de ce dernier, la communauté des experts en sécurité s’est mobilisée et le chercheur en sécurité, Vitali Kremez, a publié une règle Yara qui peut être utilisée pour détecter le DLL payload de Maze.
Commentaire