ブログ
/
ランサムウェアの封じ込め

IllumioでClopランサムウェアバリアントを阻止する方法

ロン・アイザクソン
シニアディレクター、フィールドCTO
January 21, 2022
23 最小読取り

ザの ランサムウェア ランドスケープは複雑で不安定な空間です。バリエーションは現れたり消えたり、開発者はお互いに借りたり盗んだりし、アフィリエイトは独自のカスタマイズを追加します。これにより、侵害が発生したときに、自分が誰または何に対処しているのかを正確に把握することが難しくなります。また、名目上は同じ集団から2つの別々の攻撃を仕掛け、互いに大きく異なる可能性があります。

このような複雑さと変化にもかかわらず、近年恒久的に続いているのはClopグループです。世界的な法律事務所や航空機メーカーなど、さまざまな組織を危険にさらし、その過程で数億ドルもの収益を上げています。

Illumioのお客様にとって幸いなことに、Clop攻撃がサイバー災害に変わるのを防ぐことができます。要するに、 理解 重要なネットワーク資産が相互に通信し、重要でない接続を大規模にブロックする方法

Clopって一体何なの?

Clopは、最も裕福なランサムウェアグループの1つです。 レポートによると その組織に関係するマネーロンダリング業者が少なくとも5億ドルを隠そうとしたんだランサムウェアによる実際の収益額は、はるかに高くなることは間違いありません。このマルウェアは2019年に初めて登場しました。これは、CryptoMixとして知られていた以前の種類のマルウェアの亜種です。その後何年にもわたって、運輸や物流、教育、製造、医療、小売など、さまざまなセクターを対象に活動するようになりました。

Clopは過去に複数の初期アクセスベクトルに関連付けられてきました。直接のフィッシング攻撃から ゼロデイ 単一のファイル転送ソフトウェアプロバイダーを標的とするエクスプロイト。後者の手法は、ランサムウェアの世界では非常に珍しい手法で、次のような被害をもたらしました。 グループ・グローバル・ノトリエティ そして多くの企業被害者。

これらの攻撃の大半に共通するのは、「二重強要」です。今ではランサムウェア攻撃者の間では当たり前のことですが、Clop のようなグループによって広められました。このような攻撃を受けた組織は、最も機密性の高いデータやシステムが暗号化されていることに気付くだけでなく、深刻な被害を受ける可能性もあります。 データ侵害。これにより、企業の被害者のリスクが効果的に高まります。暗号化されたデータのバックアップがあるかもしれません。しかし、悪者が機密の IP や厳重に規制された顧客データを盗んだ場合、リスクの計算方法は大きく変わります。

Clopはどのように機能しますか?

Clop攻撃にはさまざまなバリエーションがありますが、1つのパターンが役に立ちます オペランディモード アフィリエイトの。設定ミスを悪用します アクティブディレクトリ (AD) システムは、ドメイン権限を持つこれらの AD アカウントを侵害します。これにより、攻撃者は王国の鍵を入手できるようになり、次のことが可能になります。

  • リモートコマンドを実行する たとえば、侵害されたエンドポイントや AD 経由で接続されているその他のシステムの WMI スクリプトや PowerShell スクリプトなど。
  • 永続性を維持 新しいアカウントを作成したり、システムプロセスを作成/変更したりして、侵害されたシステム上で行います。また、脅威アクターは、起動時またはログオン時に、AD 経由で接続された任意のネットワーク資産上で自動的にコマンドを実行したり、スクリプトを初期化したりする可能性があります。

Clop の攻撃者は、これらのツールを駆使することで、侵害を受けた組織をかなり簡単に侵入し、次のような攻撃を仕掛けることができます。 ランサムウェア そして機密データの発見と流出。そのためには、追加のツールをダウンロードしたり、盗まれたデータをアップロードしたりするために、公共のインターネットに接続する必要があります。

Clopを止める方法

このシナリオでは、Clopの脅威を無力化するには、セキュリティチームがAD設定の仕組みを詳細に把握する必要があります。ドメイン権限を必要としないアカウントからドメイン権限アクセスを削除する、つまり「最小権限」の原則を適用することで、アクセスを減らすことができます。 アタックサーフェス かなり。次に、このような攻撃によって悪用される可能性のある一般的な経路を制限します。これには以下が含まれます。 WinRMNetBIOS そして SMB

イルミオがどのように役立つか

イルミオは世界最大手の企業を支援しています 組織 Clopやその他のランサムウェアグループからの攻撃を阻止するため。そのために、合理的でスケーラブルなポリシー管理を提供することで対策が強化されています。 ゼロトラストセグメンテーション

Illumioを使用すると、ネットワーク資産がどのように相互に通信し、パブリックインターネットにどのように送信されているかをリアルタイムで把握できます。そうすれば、どの経路を開いたままにし、どの経路を遮断するかについて戦略的な決定を下すことができます。これにより、攻撃対象領域が減り、悪者に良い選択肢がなくなります。

要するに、Illumioは次の方法でClopランサムウェアの阻止を支援できます。

  • すべての Active Directory インスタンスと接続のマッピング
  • 重要なインバウンド/アウトバウンド接続の特定
  • 重要でない通信を大規模に制限し、未解決のままになっている経路を監視するポリシーを迅速に導入する

ほとんどのグループと同様に、Clopは回復力があります。法執行機関の大規模な取り締まりが逮捕につながった数日後、逮捕に至ったのはその数日後だった。 被害者をバックアップし危険にさらす。このような永続性に取り組む唯一の方法は、洗練されたアプローチです。 ゼロトラスト イルミオからのセグメンテーション。

イルミオがランサムウェアのリスク軽減にどのように役立つかについて詳しくは、当社の電子書籍をご覧ください。 ランサムウェア攻撃を阻止する方法

関連トピック

アイテムが見つかりません。

関連記事

リスクベースの可視性をランサムウェアの保護、コンプライアンスなどに使用する方法
ランサムウェアの封じ込め

リスクベースの可視性をランサムウェアの保護、コンプライアンスなどに使用する方法

セキュリティリスクを特定し、ランサムウェアからの保護やコンプライアンスなどに必要な可視性を得る方法をご紹介します。

もっと読む
ランサムウェア対策にイルミオを使う9つの理由
ランサムウェアの封じ込め

ランサムウェア対策にイルミオを使う9つの理由

Illumioのリアルタイムの可視性とシンプルな制御により、未使用のRDPポートやSMBポートなど、ランサムウェアの最大のリスク源を迅速に減らす方法

もっと読む
ランサムウェアの拡散を阻止する 3 つのステップ
ランサムウェアの封じ込め

ランサムウェアの拡散を阻止する 3 つのステップ

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく