BlackMatter Ransomware: Mindern Sie Ihr Risiko durch Segmentierung

Die verschiedenen Sicherheitsbehörden der US-Regierung haben in letzter Zeit immer lauter geworden. Das sind gute Nachrichten für Unternehmen, die mit einer Ransomware-Landschaft konfrontiert sind, die aus schätzungsweise 68 einzelnen Varianten besteht. Die letzte Warnung von der Cybersecurity and Infrastructure Security Agency (CISA), dem Federal Bureau of Investigation (FBI) und der National Security Agency (NSA) warnt vor einem relativ neuen Ransomware als Service (RaaS) -Gruppe, bekannt als BlackMatter.

Was ist BlackMatter?

Die BlackMatter RaaS-Gruppe ist im Juli zum ersten Mal auf den Plan getreten, und es kursieren Gerüchte, dass es kann Links haben zu der berüchtigten DarkSide-Operation, die ein paar Monate zuvor in den Ruhestand gegangen ist. DarkSide war verantwortlich für Angriff auf die Kolonialpipeline, was dazu führte, dass die große Kraftstoffpipeline an der Ostküste im Mai für mehrere Tage geschlossen wurde.

Laut der Warnung hat BlackMatter bereits „mehrere“ Anbieter kritischer Infrastrukturen in den USA ins Visier genommen, obwohl behauptet wurde, dies zu vermeiden Gesundheitswesen, Regierung, Öl und Gas und andere Branchen. Einer dieser Anbieter, New Cooperative, wurde im vergangenen Monat mit einem Lösegeld von 5,9 Millionen US-Dollar konfrontiert, obwohl die Zahlungsforderungen von BlackMatter laut CISA bis zu 15 Millionen US-Dollar erreichen können.

Für Opferorganisationen gibt es eine Reihe potenzieller Geschäftsrisiken, darunter:

• Sanierungs-, Untersuchungs- und Sanierungskosten
• Regulatorische Bußgelder
• Rufschädigung und Kundenfluktuation
• Rechtskosten, insbesondere wenn personenbezogene Daten durchgesickert sind
• Auswirkungen auf die Produktivität und Betriebsausfälle
• Verlorene Verkäufe

Wie funktioniert BlackMatter?

Die CISA-Warnung bietet Sicherheitsteams auf der Grundlage einer Sandbox-Analyse einer bestimmten BlackMatter-Probe eine Menge zu verdauen. Es ist wichtig, darauf hinzuweisen, dass bei einer RaaS-Operation mehrere Gruppen dieselbe Ransomware auf leicht unterschiedliche Weise verwenden könnten, um ihre Ziele anzugreifen.

Die in der Warnung beschriebenen Taktiken, Techniken und Verfahren (TTPs) lassen sich jedoch wie folgt zusammenfassen:

Persistenz in Opfernetzwerken — Verwendung von Testkonten mit legitimen Fernüberwachungs- und Desktop-Tools

Zugriff auf Zugangsdaten — Abrufen von Anmeldeinformationen aus dem Speicher des Local Security Authority Subsystem Service (LSASS) mithilfe des Process Monitor-Tool (procmon) von Microsoft

Erkennung aller Active Directory-Hosts — Verwendung zuvor kompromittierter Anmeldeinformationen, die in das (Lightweight Directory Access Protocol) LDAP- und SMB-Protokoll (Server Message Block) eingebettet sind

Aufzählung aller laufenden Prozesse — mit NTQuerySystemInformation

Aufzählung aller laufenden Dienste im Netzwerk — mit EnumServicesStatusExw

Seitliche Bewegung — Verwenden der Microsoft Remote Procedure Call (MSRPC) -Funktion „srvsvc.NetShareEnumAll“, um alle erkannten Shares aufzulisten, und dann SMB, um eine Verbindung zu ihnen herzustellen

Datenexfiltration — um Daten für doppelte Erpressung zu stehlen

Verschlüsselung — Fernverschlüsselung von Aktien über das SMB-Protokoll. BlackMatter kann auch Backup-Systeme löschen

Wie kann Illumio helfen?

Die CISA-Warnung listet mehrere bewährte Schritte auf, die Unternehmen ergreifen können, um die Auswirkungen eines Angriffs abzuschwächen. Diese reichen von einer starken Passwortverwaltung und mehrstufigen Authentifizierung bis hin zum Patch-Management und der Implementierung des Zugriffs mit den geringsten Rechten auf Netzwerkressourcen.

Eine der wichtigsten Empfehlungen lautet jedoch Implementieren Sie eine Segmentierung, um Ransomware einzuschränken Fähigkeit, sich frei im Netzwerk zu bewegen:

“Netzwerke segmentieren um die Ausbreitung von Ransomware zu verhindern. Die Netzwerksegmentierung kann dazu beitragen, die Ausbreitung von Ransomware zu verhindern, indem sie den Verkehrsfluss zwischen und den Zugriff auf verschiedene Subnetzwerke kontrolliert und die laterale Bewegung von Gegnern einschränkt.“

Hier kommt Illumio voll zur Geltung. Tatsächlich gehen wir über die traditionelle Netzwerksegmentierung hinaus und bieten eine Zero-Trust-Segmentierung Von führenden Analystenfirmen empfohlener Ansatz Forrester und Gartner.

Illumio stoppt Ransomware mit einem einfachen dreistufigen Ansatz:

1. Verschaffen Sie sich risikobasierte Transparenz: Illumio ordnet automatisch die Kommunikation und Abhängigkeiten über alle Workloads, Rechenzentren und Public Clouds hinweg zu.
2.  Risiko einschätzen: Illumio hebt die am stärksten gefährdeten Unternehmensanwendungen und -systeme hervor.
3. Ransomware eindämmen: Wir nutzen diese Erkenntnisse, um alle riskanten Pfade und Häfen zu sperren, wie z. B. SMB, das verwendet werden kann, um seitliche Bewegungen zu erleichtern.

Nach diesen Schritten kann Illumio Ransomware-Bedrohungsakteure wie BlackMatter proaktiv einschränken, bevor sie ernsthafte Schäden anrichten und gleichzeitig kritische Vermögenswerte isolieren können. Generierung von Richtlinien wird durch automatisierte Prozesse vereinfacht, die optimierte Segmentierungsrichtlinien für jede Art von Workload (Bare-Metal, virtuelle Maschinen, Container) vorschlagen. Wir können sogar einen Notfall-Sperrschalter vorbauen, der im Falle einer Sicherheitsverletzung aktiviert wird, um bestimmte Netzwerkkommunikationen zu blockieren.

Kein Unternehmen kann heute mit Zuversicht behaupten, dass es zu 100 Prozent vor Sicherheitslücken geschützt ist. Aber mit Illumio verfügen Sie über die Technologie, um Bedrohungsakteure zu stoppen, bevor sie irreparablen Schaden anrichten können.

Um mehr zu erfahren:

• Besuchen Sie Illumio's Sichtbarkeit und Ransomware-Eindämmung Seite.
• Lesen Sie die Zeitung, So verhindern Sie, dass Ransomware zu einer Cyber-Katastrophe wird.
• Schau dir den Blogbeitrag an, 9 Gründe, Illumio zur Bekämpfung von Ransomware zu verwenden.