Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Contenção de ransomware
Raghu Nandakumara
Vice-presidente de estratégia do setor
Illumio Editorial
Outubro 20, 2021
23 minutos. ler

BlackMatter Ransomware: reduza os riscos com a segmentação Zero Trust da Illumio

The US government’s various security-focused agencies have become increasingly vocal of late. That’s good news for organizations faced with a ransomware landscape populated by an estimated 68 discrete variants. The latest alert from the Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI) and the National Security Agency (NSA) warns of a relatively new ransomware-as-a-service (RaaS) group known as BlackMatter.

O que é BlackMatter?

The BlackMatter RaaS group first burst onto the scene in July, with rumors swirling that it may have links to the infamous DarkSide operation which retired a couple of months earlier. DarkSide was responsible for the Colonial Pipeline attack, which caused the major East Coast fuel pipeline to shut down for multiple days in May.

According to the alert, BlackMatter has already targeted “multiple” US critical infrastructure providers, despite claiming to avoid healthcare, government, oil and gas and other verticals. One of these providers, New Cooperative, was hit with a ransom of $5.9 million last month, although BlackMatter’s payment demands can reach $15 million, CISA claims.

Para organizações de vítimas, há uma série de riscos comerciais indiretos em potencial, incluindo:

  • Custos de remediação, investigação e limpeza
  • Multas regulatórias
  • Danos à reputação e desgaste do cliente
  • Custos legais, especialmente se dados pessoais vazarem
  • Impacto na produtividade e interrupções operacionais
  • Vendas perdidas

Como o BlackMatter opera?

O alerta da CISA tem muito para as equipes de segurança digerirem, com base na análise sandbox de uma amostra específica do BlackMatter. É importante ressaltar que, como uma operação de RaaS, vários grupos podem usar o mesmo ransomware de maneiras ligeiramente diferentes para atacar seus alvos.

Dito isso, as táticas, técnicas e procedimentos (TTPs) descritos pelo alerta podem ser resumidos como:

Persistence on victim networks — using trial accounts with legitimate remote monitoring and desktop tools

Credential access — harvesting credentials from Local Security Authority Subsystem Service (LSASS) memory using Microsoft’s Process Monitor (procmon) tool

Discovery of all Active Directory hosts — using previously compromised credentials embedded in the (Lightweight Directory Access Protocol) LDAP and Server Message Block (SMB) protocol

Enumeration of all running processes — using NtQuerySystemInformation

Enumeration of all running services on the network — using EnumServicesStatusExW

Lateral movement — using the “srvsvc.NetShareEnumAll” Microsoft Remote Procedure Call (MSRPC) function to list all discovered shares, and then SMB to connect to them

Data exfiltration — to steal data for double extortion

Encryption — remote encryption of shares via SMB protocol. BlackMatter may also wipe backup systems

Como a segmentação Zero Trust da Illumio pode ajudar

O alerta da CISA lista várias etapas de melhores práticas que as organizações podem adotar para mitigar o impacto de um ataque. Elas abrangem desde o gerenciamento robusto de senhas e a autenticação multifatorial até o gerenciamento de patches e a implementação de acesso com privilégios mínimos aos recursos da rede.

However, one of the most important recommendations is to implement segmentation to restrict ransomware’s ability to move freely across the network:

Redes de segmentos para evitar a propagação do ransomware. A segmentação da rede pode ajudar a evitar a propagação do ransomware ao controlar os fluxos de tráfego entre e o acesso a várias sub-redes e ao restringir o movimento lateral do adversário.”

This is where Illumio comes into its own. In fact, we go beyond traditional network segmentation with a Zero Trust segmentation approach recommended by leading analyst firms Forrester and Gartner.

Illumio stops ransomware in its tracks with a simple three-step approach:

  1. Obtenha visibilidade baseada em riscos: o Illumio mapeia automaticamente as comunicações e dependências em todas as cargas de trabalho, data centers e nuvens públicas.
  2. Avalie o risco: a Illumio destaca os aplicativos e sistemas corporativos com maior risco.
  3. Contain ransomware: We use this insight to lock down any risky pathways and ports, such as SMB, that may be used to facilitate lateral movement.

Following these steps, Illumio can proactively restrict ransomware threat actors like BlackMatter before they can cause any serious damage while isolating critical assets. Policy generation is simplified via automated processes which suggest optimized segmentation policies for any type of workload (bare-metal, virtual machines, containers). We can even pre-build an emergency lockdown switch to activate in the event of a breach to block specific network communications.

Atualmente, nenhuma organização pode afirmar com segurança que está 100% à prova de violações. Mas com o Illumio, você tem a tecnologia para deter os agentes de ameaças antes que eles possam causar danos irreparáveis.

To learn more, contact us today.

Tópicos relacionados

Contenção de ransomware

Artigos relacionados

S & P Global: As 3 principais maneiras de lidar com a ameaça de ransomware em infraestruturas críticas
Contenção de ransomware

S & P Global: As 3 principais maneiras de lidar com a ameaça de ransomware em infraestruturas críticas

Trevor Dearing, diretor de marketing de soluções da Illumio, e Eric Hanselman, analista-chefe de inteligência de mercado global da S & P Global abordam questões de ransomware.

Leia mais
Cavalo de Tróia moderno: como os atacantes vivem fora da terra e como detê-los
Contenção de ransomware

Cavalo de Tróia moderno: como os atacantes vivem fora da terra e como detê-los

Descubra como os atacantes “vivem da terra” usando ferramentas confiáveis como PowerShell e SSH e como impedir ameaças de LOTL com visibilidade e contenção.

Leia mais
Suponha uma violação com o Zero Trust Endpoint Security
Contenção de ransomware

Suponha uma violação com o Zero Trust Endpoint Security

Saiba por que as abordagens tradicionais de segurança de terminais não são suficientes e como o Illumio Endpoint pode complementar suas ferramentas de detecção existentes.

Leia mais
Como conter ataques de ransomware LockBit com o Illumio
Contenção de ransomware

Como conter ataques de ransomware LockBit com o Illumio

Descubra como o ransomware LockBit opera e como a Illumio Zero Trust Segmentation conteve um ataque de ransomware LockBit no verão de 2022.

Leia mais
Especialista Q & A: Por que as empresas ainda pagam ransomware?
Contenção de ransomware

Especialista Q & A: Por que as empresas ainda pagam ransomware?

Obtenha a perspectiva de um especialista sobre os fatores que levam as organizações a pagar resgates, apesar de seus riscos de reputação, financeiros e de segurança.

Leia mais
4 princípios fundamentais para se proteger contra ransomware
Contenção de ransomware

4 princípios fundamentais para se proteger contra ransomware

Observar e implementar esses 4 princípios fundamentais ajudará você a proteger sua organização quando se trata de como se defender contra o ransomware. Leia mais

Leia mais

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais