So stoppen Sie die Clop Ransomware-Variante mit Illumio

Das Ransomware Landschaft ist ein komplexer, volatiler Raum. Varianten kommen und gehen, Entwickler leihen und stehlen sich gegenseitig, und Affiliates fügen ihre eigenen maßgeschneiderten Anpassungen hinzu. Dies kann es schwierig machen, zu wissen, mit wem oder was genau Sie es zu tun haben, wenn es zu einem Verstoß kommt. Es kann auch dazu führen, dass sich zwei separate Angriffe nominell desselben Kollektivs möglicherweise stark voneinander unterscheiden.

Trotz all dieser Komplexität und Veränderung war die Clop-Gruppe in den letzten Jahren eine feste Größe. Sie hat so unterschiedliche Organisationen wie globale Anwaltskanzleien und Flugzeughersteller kompromittiert und dabei Hunderte Millionen Dollar angehäuft.

Zum Glück für Illumio-Kunden können wir verhindern, dass Clop-Angriffe zu Cyberkatastrophen werden. Es läuft alles darauf hinaus Verstehen wie wichtige Netzwerkressourcen miteinander kommunizieren und dann nicht unbedingt benötigte Verbindungen in großem Umfang blockieren.

Worum geht es bei Clop?

Clop ist eine der reichsten Ransomware-Gruppen überhaupt. Berichten zufolge Geldwäscher, die mit der Gruppe in Verbindung stehen, haben versucht, mindestens 500 Millionen Dollar zu verbergen. Die tatsächliche Zahl der Einnahmen aus Ransomware wird mit Sicherheit deutlich höher sein. Die Malware tauchte erstmals 2019 auf, eine Variante einer früheren Sorte namens CryptoMix. In den darauffolgenden Jahren wurde sie zum Einsatz gebracht und zielte auf so unterschiedliche Sektoren wie Transport und Logistik, Bildung, Fertigung, Gesundheitswesen und Einzelhandel ab.

Clop wurde in der Vergangenheit mit mehreren Erstzugriffsvektoren in Verbindung gebracht — von direkten Phishing-Angriffen bis Zero-Day Exploits, die auf einen einzelnen Anbieter von Dateiübertragungssoftware abzielen. Die letztere Technik, die im Bereich Ransomware äußerst ungewöhnlich ist, brachte weltweite Bekanntheit der Gruppe und viele Unternehmensopfer.

Ein roter Faden, der die meisten dieser Angriffe miteinander verbindet, ist die „doppelte Erpressung“. Unter Ransomware-Akteuren inzwischen alltäglich, wurde es von Gruppen wie Clop populär gemacht. Bei einem solchen Angriff stellen die Opferorganisationen nicht nur fest, dass ihre sensibelsten Daten und Systeme verschlüsselt sind, sondern sie könnten auch einem schwerwiegenden Schaden ausgesetzt sein Datenschutzverletzung. Es erhöht effektiv das Risiko für Unternehmensopfer. Möglicherweise haben Sie Backups für die verschlüsselten Daten. Aber wenn die Bösewichte vertrauliche IP-Adressen oder stark regulierte Kundendaten gestohlen haben, wird das jede Risikokalkulation erheblich verändern.

Wie funktioniert Clop?

Es gibt zwar viele Variationen bei Clop-Angriffen, aber ein bestimmtes Muster ist aufschlussreich in modus operandi von verbundenen Unternehmen. Es sind falsch konfigurierte Exploits Aktives Verzeichnis (AD) -Systeme, um diese AD-Konten mit Domänenrechten zu kompromittieren. Dadurch erhalten Angreifer die Schlüssel zum Königreich und können so:

• Fernbefehle ausführen wie WMI- und PowerShell-Skripts auf dem kompromittierten Endpunkt und allen anderen Systemen, die über AD damit verbunden sind.
• Behalten Sie die Persistenz bei auf einem kompromittierten System, indem Sie neue Konten erstellen oder Systemprozesse erstellen/ändern. Bedrohungsakteure könnten auch Befehle ausführen oder Skripts beim Start oder bei der Anmeldung automatisch initialisieren — und zwar auf jedem Netzwerkgerät, das über AD verbunden ist.

Mit diesen Tools in ihrem Arsenal können sich Clop-Angreifer relativ einfach durch kompromittierte Organisationen bewegen und die Ransomware und das Auffinden und Exfiltrieren sensibler Daten. Dazu müssen sie eine Verbindung zum öffentlichen Internet herstellen, um zusätzliche Tools herunterzuladen und die gestohlenen Daten hochzuladen.

Wie stoppt man Clop

In diesem Szenario müssen die Sicherheitsteams zur Neutralisierung der Clop-Bedrohung detaillierte Einblicke in die Funktionsweise ihrer AD-Setups erhalten. Indem sie Konten, die sie nicht benötigen, den Zugriff auf Domänenrechte entziehen — d. h. indem sie die Prinzipien der „geringsten Rechte“ durchsetzen — können sie die Angriffsfläche erheblich. Beschränken Sie als Nächstes die üblichen Pfade, die ein solcher Angriff ausnutzen könnte, einschließlich WinRM, NetBIOS und SMB.

Wie Illumio helfen kann

Illumio hilft einigen der weltweit größten Organisationen um Angriffe von Clop und anderen Ransomware-Gruppen abzuwehren. Wir tun dies, indem wir ein optimiertes, skalierbares Richtlinienmanagement bereitstellen, das bei der Durchsetzung hilft Zero-Trust-Segmentierung.

Mit Illumio können Sie in Echtzeit nachvollziehen, wie Netzwerkressourcen miteinander und mit dem öffentlichen Internet kommunizieren. Dann können Sie strategische Entscheidungen darüber treffen, welche Pfade Sie offen halten und welche Sie blockieren möchten. So wird die Angriffsfläche reduziert, sodass die Bösewichte keine guten Optionen mehr haben.

Kurz gesagt, Illumio kann helfen, die Clop-Ransomware zu stoppen, indem:

• Zuordnung aller Active Directory-Instanzen und -Verbindungen
• Identifizierung wichtiger eingehenden/ausgehender Verbindungen
• Schnelle Umsetzung von Richtlinien, um unwichtige Kommunikationswege in großem Umfang einzuschränken und alle offenen Pfade zu überwachen

Wie die meisten Gruppen ist Clop widerstandsfähig. Nur wenige Tage, nachdem ein großes Durchgreifen der Strafverfolgungsbehörden zu Verhaftungen geführt hatte, war es Opfer unterstützen und kompromittieren. Die einzige Möglichkeit, diese Art von Beharrlichkeit zu bekämpfen, ist mit ausgeklügelten Null Vertrauen Segmentierung von Illumio.

Um mehr darüber zu erfahren, wie Illumio zur Minderung des Ransomware-Risikos beiträgt, lesen Sie unser E-Book So stoppen Sie Ransomware-Angriffe.