Verteidigung gegen Conti-Ransomware: Warum CISA dringend eine Segmentierung empfiehlt

Gestern haben die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) eine gemeinsame Cybersicherheitsmaßnahme veröffentlicht beratend rund um die anhaltende Welle von Conti-Ransomware-Angriffen — eine Variante des Ransomware-as-a-Service (RaaS) -Modells, von der bekannt ist, dass sie seit ihrer Einführung im Jahr 2020 hinter mehr als 400 Angriffen auf US-amerikanische und internationale Organisationen steckt.

Conti ist nur das neueste Beispiel für die anhaltende Ransomware-Geißel. Kurz vor dem einjährigen Jubiläum der SolarWinds-Verstoß, Ransomware-Angriffe entwickeln sich ständig weiter und häufen sich — und das in einem unmissverständlichen Ausmaß.

Heute ist es wichtiger denn je, dass Unternehmen die notwendigen Maßnahmen ergreifen, um ihre Cyber-Resilienz zu stärken — nicht nur, um ihr eigenes Unternehmen, sondern auch ihre Kunden und Lieferketten vor der Welle anhaltender Bedrohungen zu schützen und zu verteidigen. Ransomware Angriffe.

Was ist Conti?

Laut dem gemeinsame Beratung von CISA und FBI: „Bei typischen Conti-Ransomware-Angriffen stehlen böswillige Cyber-Akteure Dateien, verschlüsseln Server und Workstations und verlangen eine Lösegeldzahlung.“

In der Empfehlung wurde auch darauf hingewiesen, dass die Entwickler von Conti den Betreibern der Ransomware häufig einen Lohn zahlen und nicht einen Prozentsatz der Einnahmen aus einem erfolgreichen Angriff. Diese Enthüllung macht das Modell selbst noch alarmierender, da die Entwickler unabhängig davon bezahlt werden, wie „erfolgreich“ ein bestimmter Angriff ist.

Anfang dieses Monats, SiliconAngle berichtet dass Conti „mit einer Reihe von Angriffen in Verbindung gebracht wurde, darunter einem Angriff auf das irische Gesundheitswesen im Mai... Zu den früheren Opfern von Conti gehören der Industriecomputerhersteller Advantech im November, der VOIP-Hardware- und Softwarehersteller Sangoma Technologies im Dezember und Krankenhäuser in Florida und Texas im Februar“.

SiliconAngle merkte auch an, dass Conti im Mai Gegenstand einer FBI-Warnung war, die besagte, dass die Bande und ihre verbundenen Unternehmen es auf Gesundheitsdienstleister abgesehen hatten — ein wichtiger Sektor, insbesondere angesichts der anhaltenden Covid-19-Pandemie.

Schutz vor Conti

Um Systeme vor Conti-Ransomware zu schützen, empfehlen CISA und das FBI die folgenden Vorsichtsmaßnahmen — Null Vertrauen und Segmentierung Prinzipien sind die wichtigsten unter ihnen:

• Verwenden Sie die Multifaktor-Authentifizierung für den Fernzugriff auf Netzwerke von externen Quellen aus.
• Implementieren Sie Netzwerksegmentierung und filtern Sie den Verkehr. Implementieren und gewährleisten Sie eine robuste Netzwerksegmentierung zwischen Netzwerken und Funktionen, um die Ausbreitung der Ransomware zu reduzieren. Filtern Sie den Netzwerkverkehr, um ein- und ausgehende Kommunikation mit bekannten bösartigen IP-Adressen zu verhindern. Aktivieren Sie starke Spamfilter, um zu verhindern, dass Phishing-E-Mails die Endbenutzer erreichen.
  
  Unternehmen sollten auch die Implementierung eines Benutzerschulungsprogramms in Betracht ziehen, um Benutzer davon abzuhalten, bösartige Websites zu besuchen oder schädliche Anhänge zu öffnen. IT-Teams sollten eine URL-Blockliste implementieren und/oder Zulassungsliste um zu verhindern, dass Benutzer auf bösartige Websites zugreifen; mit fortschrittlicheren Technologie-Toolkits kann dies automatisiert werden.
• Suchen Sie nach Sicherheitslücken und halten Sie die Software auf dem neuesten Stand. Richten Sie Antiviren- und Antimalware-Programme so ein, dass sie mithilfe aktueller Signaturen regelmäßige Scans von Netzwerkressourcen durchführen. Unternehmen sollten außerdem sicherstellen, dass sie Software und Betriebssysteme, Anwendungen und Firmware auf Netzwerkressourcen rechtzeitig aktualisieren.
• Entfernen Sie unnötige Anwendungen und wenden Sie Kontrollen an. Entfernen Sie alle Anwendungen, die für den täglichen Betrieb nicht als notwendig erachtet werden. Untersuchen Sie jede nicht autorisierte Software.
• Implementieren Sie Tools zur Reaktion auf Endpunkte und Erkennung. Es ist bekannt, dass Tools zur Reaktion auf Endgeräte und Erkennung den Einblick der SecOps-Teams in eine bestimmte Cybersicherheitsumgebung verbessern — was bedeutet, dass böswillige Cyberakteure und potenzielle Bedrohungen frühzeitig identifiziert und besser abgewehrt werden können.
• Sichere Benutzerkonten. Überwachen Sie regelmäßig Administratorkonten und konfigurieren Sie Zugriffskontrollen nach den Prinzipien der geringsten Rechte (Zero Trust) und der Aufgabentrennung. Unternehmen sollten zudem die Protokolle regelmäßig überprüfen, um sicherzustellen, dass es sich bei neuen Konten um legitime Benutzer handelt.

Da immer mehr RaaS-Modelle und Ransomware-Varianten ans Licht kommen, ist es wichtig, dass Unternehmen potenzielle Bedrohungsvektoren oder Sicherheitslücken frühzeitig erkennen und minimieren. Unter den oben genannten Empfehlungen ist die Segmentierung eine der wichtigsten Best Practices, nach denen Unternehmen heute handeln sollten.

So kann Illumio helfen

Illumio stoppt Ransomware entwickelt sich im Laufe der Zeit und entwickelt sich im Gegensatz zur herkömmlichen Netzwerksegmentierung mit Ihrem Unternehmen, indem es Folgendes bietet:

• Einfache und schnelle Segmentierung. Mit Illumio können Sie Anwendungen, Benutzer und bestimmte Ressourcen mithilfe der automatischen Richtlinienerstellung innerhalb von Minuten segmentieren.
  
  Im Fall von Conti nutzte die Ransomware den Server-Nachrichtenblock aus (SMB) und das Remote-Desktop-Protokoll (RDP), um sich seitlich zu bewegen. Mit Illumio Core, können Sie eine einfache Richtlinie verfassen, die diese beiden Protokolle in Ihrem gesamten Anwesen blockiert, sofern sie nicht unbedingt erforderlich sind — um das Risiko schnell und effektiv zu reduzieren.
• Richtlinie, die sich an Ihre dynamischen Umgebungen anpasst. Da Illumio Ihre bestehende Infrastruktur zur Durchsetzung von Richtlinien nutzt, skaliert es mit Ihrem Netzwerk, wenn es sich weiterentwickelt.
• Segmentierung auf Host-Ebene. Durch die Verwendung vorhandener hostbasierter Firewalls können Sie alle Ihre Segmentierungsrichtlinien von einer einzigen Cloud-Instanz aus verwalten, ohne die Infrastruktur berühren oder Kabel verlegen zu müssen.

Erfahren Sie mehr darüber, wie Illumio Ihr Risiko drastisch reduzieren kann, indem es die Reichweite eines erfolgreichen Verstoßes begrenzt: Lesen Sie das Whitepaper So verhindern Sie, dass Ransomware zu einer Cyber-Katastrophe wird, und sieh dir den Blogbeitrag an, 9 Gründe, Illumio zur Bekämpfung von Ransomware zu verwenden.

Weitere Informationen zur Conti-Ransomware-Gang finden Sie auf der offiziellen beratend Seite.