.png)
BlackMatter Ransomware: Risikominderung mit Illumio Zero Trust-Segmentierung
Die verschiedenen sicherheitspolitischen Behörden der US-Regierung haben sich in letzter Zeit immer lauter geäußert. Das sind gute Nachrichten für Organisationen, die mit einer Ransomware-Landschaft konfrontiert sind, die schätzungsweise 68 verschiedene Varianten umfasst. Die jüngste Warnung der Cybersecurity and Infrastructure Security Agency (CISA), des Federal Bureau of Investigation (FBI) und der National Security Agency (NSA) macht auf eine relativ neue Ransomware-as-a-Service (RaaS)-Gruppe namens BlackMatter aufmerksam.
Was ist BlackMatter?
Die BlackMatter RaaS-Gruppe trat erstmals im Juli auf den Plan, wobei Gerüchte kursierten, dass sie Verbindungen zur berüchtigten DarkSide-Operation haben könnte, die ein paar Monate zuvor in den Ruhestand gegangen war. DarkSide war verantwortlich für den Angriff auf die Colonial Pipeline, der dazu führte, dass die wichtige Treibstoffpipeline an der Ostküste im Mai für mehrere Tage stillgelegt wurde.
Laut der Warnung hat BlackMatter bereits "mehrere" US-Anbieter kritischer Infrastrukturen ins Visier genommen, obwohl es behauptet, das Gesundheitswesen, die Regierung, die Öl- und Gasindustrie und andere Branchen zu meiden. Einer dieser Anbieter, New Cooperative, wurde letzten Monat mit einem Lösegeld von 5,9 Millionen US-Dollar belegt, obwohl die Zahlungsforderungen von BlackMatter laut CISA 15 Millionen US-Dollar erreichen können.
Für Opferorganisationen gibt es eine Reihe potenzieller Folgerisiken, darunter:
- Kosten für Sanierung, Untersuchung und Sanierung
- Bußgelder
- Reputationsschäden und Kundenabwanderung
- Rechtskosten, insbesondere wenn personenbezogene Daten durchgesickert sind
- Auswirkungen auf die Produktivität und Betriebsausfälle
- Entgangene Umsätze
Wie funktioniert BlackMatter?
Die CISA-Warnung hat für Sicherheitsteams viel zu verdauen, basierend auf der Sandbox-Analyse einer bestimmten BlackMatter-Probe. Es ist wichtig, darauf hinzuweisen, dass bei einer RaaS-Operation mehrere Gruppen dieselbe Ransomware auf leicht unterschiedliche Weise verwenden können, um ihre Ziele anzugreifen.
Die in der Warnung beschriebenen Taktiken, Techniken und Verfahren (TTPs) können jedoch wie folgt zusammengefasst werden:
Persistenz in Opfernetzwerken – Verwendung von Testkonten mit legitimen Fernüberwachungs- und Desktop-Tools
Zugriff auf Anmeldeinformationen – Abgreifen von Anmeldeinformationen aus dem Speicher des Local Security Authority Subsystem Service (LSASS) mithilfe des Microsoft Process Monitor (procmon)-Tools
Ermittlung aller Active Directory-Hosts – Verwendung zuvor kompromittierter Anmeldeinformationen, die in das LDAP- (Lightweight Directory Access Protocol) und SMB-Protokoll (Server Message Block) eingebettet sind
Auflistung aller laufenden Prozesse – mithilfe von NtQuerySystemInformation
Auflistung aller laufenden Dienste im Netzwerk – mithilfe von EnumServicesStatusExW
Laterale Bewegung — Verwendung der Microsoft Remote Procedure Call (MSRPC)-Funktion „srvsvc.NetShareEnumAll“, um alle gefundenen Freigaben aufzulisten, und anschließend SMB, um eine Verbindung zu ihnen herzustellen
Datenexfiltration — um Daten für doppelte Erpressung zu stehlen
Verschlüsselung — Remote-Verschlüsselung von Freigaben über das SMB-Protokoll. BlackMatter kann auch Backup-Systeme löschen.
Wie Illumio Zero Trust Segmentation helfen kann
Die CISA-Warnung listet mehrere Best-Practice-Schritte auf, die Unternehmen ergreifen können, um die Auswirkungen eines Angriffs zu mildern. Diese reichen von der starken Passwortverwaltung und Multi-Faktor-Authentifizierung über das Patch-Management bis hin zur Implementierung des Zugriffs auf Netzwerkressourcen mit den geringsten Berechtigungen.
Eine der wichtigsten Empfehlungen ist jedoch die Implementierung einer Segmentierung, um die Fähigkeit von Ransomware einzuschränken , sich frei im Netzwerk zu bewegen:
“Segment-Netzwerke um die Ausbreitung von Ransomware zu verhindern. Die Netzwerksegmentierung kann dazu beitragen, die Ausbreitung von Ransomware zu verhindern, indem sie den Datenverkehr zwischen und den Zugriff auf verschiedene Subnetzwerke kontrolliert und die laterale Bewegung von Angreifern einschränkt."
Hier kommt Illumio ins Spiel. Tatsächlich gehen wir mit einem Zero-Trust-Segmentierungsansatz , der von den führenden Analystenhäusern Forrester und Gartner empfohlen wird, über die traditionelle Netzwerksegmentierung hinaus.
Illumio stoppt Ransomware mit einem einfachen dreistufigen Ansatz:
- Gewinnen Sie risikobasierte Transparenz: Illumio bildet automatisch die Kommunikation und Abhängigkeiten über alle Workloads, Rechenzentren und Public Clouds hinweg ab.
- Risiko bewerten: Illumio hebt die am stärksten gefährdeten Unternehmensanwendungen und -systeme hervor.
- Ransomware eindämmen: Wir nutzen diese Erkenntnisse, um riskante Pfade und Ports, wie z. B. SMB, zu sperren, die zur Erleichterung der lateralen Bewegung verwendet werden können.
Durch die Anwendung dieser Maßnahmen kann Illumio Ransomware-Angreifer wie BlackMatter proaktiv einschränken, bevor diese ernsthaften Schaden anrichten können, und gleichzeitig kritische Assets isolieren. Die Richtliniengenerierung wird durch automatisierte Prozesse vereinfacht, die optimierte Segmentierungsrichtlinien für jede Art von Arbeitslast (Bare-Metal, virtuelle Maschinen, Container) vorschlagen. Wir können sogar einen Notfall-Sperrschalter vorinstallieren, der im Falle einer Sicherheitslücke aktiviert wird, um bestimmte Netzwerkkommunikationen zu blockieren.
Kein Unternehmen kann heute mit Zuversicht behaupten, dass es zu 100 Prozent sicher vor Sicherheitsverletzungen ist. Aber mit Illumio haben Sie die Technologie, um Bedrohungsakteure zu stoppen, bevor sie irreparablen Schaden anrichten können.
Um mehr zu erfahren, kontaktieren Sie uns noch heute.
.webp)
.webp)
