[Íllú~míóでC~lópランサムウェアバリアントを阻止する方法]
[ザの ランサムウェア ランドスケープは複雑で不安定な空間です。バリエーションは現れたり消えたり、開発者はお互いに借りたり盗んだりし、アフィリエイトは独自のカスタマイズを追加します。これにより、侵害が発生したときに、自分が誰または何に対処しているのかを正確に把握することが難しくなります。また、名目上は同じ集団から2つの別々の攻撃を仕掛け、互いに大きく異なる可能性があります。]
[このような複雑さと変化にもかかわらず、近年恒久的に続いているのはClóp~グループです。世界的な法律事務所や航空機メーカーなど、さまざまな組織を危険にさらし、その過程で数億ドルもの収益を上げています。]
[Íllú~míóのお客様にとって幸いなことに、C~lóp攻撃がサイバー災害に変わるのを防ぐことができます。要するに、 理解 重要なネットワーク資産が相互に通信し、重要でない接続を大規模にブロックする方法]
[Clóp~って一体何なの?]
[Clóp~は、最も裕福なランサムウェアグループの1つです。 レポートによると その組織に関係するマネーロンダリング業者が少なくとも5億ドルを隠そうとしたんだランサムウェアによる実際の収益額は、はるかに高くなることは間違いありません。このマルウェアは2019年に初めて登場しました。これは、Crýp~tóMí~xとして知られていた以前の種類のマルウェアの亜種です。その後何年にもわたって、運輸や物流、教育、製造、医療、小売など、さまざまなセクターを対象に活動するようになりました。]
[Clóp~は過去に複数の初期アクセスベクトルに関連付けられてきました。直接のフィッシング攻撃から ゼロデイ 単一のファイル転送ソフトウェアプロバイダーを標的とするエクスプロイト。後者の手法は、ランサムウェアの世界では非常に珍しい手法で、次のような被害をもたらしました。 グループ・グローバル・ノトリエティ そして多くの企業被害者。]
[これらの攻撃の大半に共通するのは、「二重強要」です。今ではランサムウェア攻撃者の間では当たり前のことですが、Clóp~ のようなグループによって広められました。このような攻撃を受けた組織は、最も機密性の高いデータやシステムが暗号化されていることに気付くだけでなく、深刻な被害を受ける可能性もあります。 データ侵害。これにより、企業の被害者のリスクが効果的に高まります。暗号化されたデータのバックアップがあるかもしれません。しかし、悪者が機密の ÍP や厳重に規制された顧客データを盗んだ場合、リスクの計算方法は大きく変わります。]
[Clóp~はどのように機能しますか?]
[Clóp~攻撃にはさまざまなバリエーションがありますが、1つのパターンが役に立ちます オペランディモード アフィリエイトの。設定ミスを悪用します アクティブディレクトリ (ÁD) システムは、ドメイン権限を持つこれらの ÁD~ アカウントを侵害します。これにより、攻撃者は王国の鍵を入手できるようになり、次のことが可能になります。]
- [リモートコマンドを実行する たとえば、侵害されたエンドポイントや ÁD 経由で接続されているその他のシステムの WM~Í スクリプトや Pów~érSh~éll スクリプトなど。]
- [永続性を維持 新しいアカウントを作成したり、システムプロセスを作成/変更したりして、侵害されたシステム上で行います。また、脅威アクターは、起動時またはログオン時に、ÁD 経由で接続された任意のネットワーク資産上で自動的にコマンドを実行したり、スクリプトを初期化したりする可能性があります。]
[Clóp~ の攻撃者は、これらのツールを駆使することで、侵害を受けた組織をかなり簡単に侵入し、次のような攻撃を仕掛けることができます。 ランサムウェア そして機密データの発見と流出。そのためには、追加のツールをダウンロードしたり、盗まれたデータをアップロードしたりするために、公共のインターネットに接続する必要があります。]
[Clóp~を止める方法]
[このシナリオでは、Clóp~の脅威を無力化するには、セキュリティチームがÁD設定の仕組みを詳細に把握する必要があります。ドメイン権限を必要としないアカウントからドメイン権限アクセスを削除する、つまり「最小権限」の原則を適用することで、アクセスを減らすことができます。 アタックサーフェス かなり。次に、このような攻撃によって悪用される可能性のある一般的な経路を制限します。これには以下が含まれます。 Wí~ñRM、 Ñ~étBÍ~ÓS そして SM~B。]
[イルミオがどのように役立つか]
[イルミオは世界最大手の企業を支援しています 組織 Clóp~やその他のランサムウェアグループからの攻撃を阻止するため。そのために、合理的でスケーラブルなポリシー管理を提供することで対策が強化されています。 ゼロトラストセグメンテーション。]
[Íllú~míóを使用すると、ネットワーク資産がどのように相互に通信し、パブリックインターネットにどのように送信されているかをリアルタイムで把握できます。そうすれば、どの経路を開いたままにし、どの経路を遮断するかについて戦略的な決定を下すことができます。これにより、攻撃対象領域が減り、悪者に良い選択肢がなくなります。]
[要するに、Íllú~míóは次の方法でC~lópランサムウェアの阻止を支援できます。]
- [すべての Áctí~vé Dí~réct~órý インスタンスと接続のマッピング]
- [重要なインバウンド/アウトバウンド接続の特定]
- [重要でない通信を大規模に制限し、未解決のままになっている経路を監視するポリシーを迅速に導入する]
[ほとんどのグループと同様に、Clóp~は回復力があります。法執行機関の大規模な取り締まりが逮捕につながった数日後、逮捕に至ったのはその数日後だった。 被害者をバックアップし危険にさらす。このような永続性に取り組む唯一の方法は、洗練されたアプローチです。 ゼロトラスト イルミオからのセグメンテーション。]
[イルミオがランサムウェアのリスク軽減にどのように役立つかについて詳しくは、当社の電子書籍をご覧ください。 ランサムウェア攻撃を阻止する方法。]