REvil stoppen: Wie Illumio eine der produktiven Ransomware-Gruppen zur Ursache bringen kann

Ransomware-Gruppen kommen und gehen. Aber nur wenige haben den Bekanntheitsgrad von REvil. Die Gruppe und ihre Tochterunternehmen, auch bekannt als Sodinokibi, waren für einige der Mängel an der Gewichtssicherheit der letzten 12 bis 18 Monate verantwortlich. Dazu gehören Überfälle auf einen prominente Anwaltskanzlei und ein Fleischverarbeitungsriese, der hat der Angreifer 11 Millionen $ eingebracht. Weitere bemerkenswerte Kampagnen umfassen ausgeklügelter Angriff auf das IT-Softwareunternehmen Kaseya und das Versprechen taiwanesischer Hersteller und Apple-Kunden Quantencomputer.

Die beiden letztgenannten zeichnen sich durch ihre empörenden Lösegeldforderungen in Höhe von 70 Millionen US-Dollar bzw. 50 Millionen US-Dollar aus. Aber auch, weil sie die globalen Lieferketten nutzen, wenn auch auf verschiedene Weise, um ihre Ziele zu erreichen.

Und während des Bösen wurde kürzlich gestört Durch Verhaftungen und Sanktionen ist die Gruppe Beiträge dazu fortgesetzte Geschäftstätigkeit. Die gute Nachricht ist, dass Illumio zur Verfügung steht, um hochriskante Netzwerkverbindungen abzubilden, zu überwachen und zu blockieren, die REVIL-Bedrohung abwehren können — und unabhängig davon, welche Iterationen davon ausgehen, wird die Gruppe letztendlich verschwinden.

Warum sind Angriffe auf die Lieferkette gefährlich?

Die Razzia auf Quanta Computer im April 2021 war intelligent. Als wichtiger Partner für die Auftragsfertigung durch Apple hat das Unternehmen Zugriff auf einige hochsensible Baupläne und geistiges Eigentum von Produkten. Es ist, so berechnete REvil, vielleicht weniger gut geschützt als die Technologieriese aus Cupertino. As Quanta weigert sich zu zahlen, ging die Gruppe zu Apple, um das Lösegeld zu fordern, sonst würden sie die gestohlenen Dokumente durchsickern oder verkaufen. Wir wissen nicht, ob sie erfolgreich waren, aber alle Daten, die sie auf die Razzia beziehen wurde anschließend entfernt Berichte von der REVIL-Leckstelle.

Was sagt uns dieser Unfall? Ihre Organisation kann eine Premiere sein Ransomware/Revil-Target, wenn er eine hohe Partnerstärke hat. Und zweitens sind Sie nur so sicher wie Ihre Lieferanten, die am wenigsten sicher sind.

Wie funktioniert REvil?

Der Quantenangriff selbst beinhaltete einige Spezialelemente. Das allgemeine Muster — die Verwendung anfälliger, durch externe gerichteter Software oder Dienste — wurde aber in vielen Kampagnen verwendet.

In diesem Herbst zielte REvil auf eine Sicherheitslücke in der Oracle WebLogic-Software. Dies ermöglichte es den Bedrohungsakteurs, einem kompromittierten Server, Schadsoftware herunterzuladen und auszuführen, ohne dass die Nutzer darauf zugreifen konnten. Es gab zwei Hauptphasen:

1. Der Angreifer stellt hier eine HTTP-Verbindung zu einem ungepatchten WebLogic-Server her und laden dann die Sodinokibi-Ransomware-Variante herunter. Ty used an PowerShell-command, to download a file with the name „radm.exe“ from bösartige IP-Adressen, and zwangen den Server, to save and perform the file local.
2. Der verwendete Anbieter, um Daten im Benutzerverzeichnis zu verschlüsseln und die Wiederherstellung der Daten zu stören, indem sie „Schattenkopien“ der verschlüsselten Daten löschten, wurde Windows automatisch erstellt.

Wie kann man REvil aufhalten?

Gute Cyberhygiene, wie z. B. das schnelle Patchen hochriskanter Endpunkte, kann dazu beitragen, die Angriffsfläche für Unternehmen zu reduzieren. Darüber hinaus können jedoch umfassende Maßnahmen auf Netzwerkebene ergriffen werden.

Unternehmen müssen verstehen, dass selbst vertrauenswürdige Kanäle und Software von Drittanbietern zu einem Kanal für Malware und Ransomware sein können. Um dieses Risiko zu verringern, Sie benötigen Segmentierung aller Standardlösungen von der übrigen Umgebung — insbesondere von Sicherheitstools wie Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR).

Unternehmen sollten auch Folgendes berücksichtigen Identifizierung und Einschränkung aller nicht notwendigen ausgehenden Verbindungen. Das bedeutet, alles außer der Kommunikation mit autorisierten Ziel-IPs zu blockieren, also an den Ports 80 und 443. Dadurch wird verhindert, dass Bedrohungsakteure versuchen, Command-and-Control-Server (C&C) aufzurufen, um zusätzliche Tools zur Durchführung von Attacken herunterzuladen. Desweiteren sind Sperren, Daten vom Unternehmen auf dem Server unter Ihrer Kontrolle zum Exfiltrier.

Wie kann Illumio helfen

Illumio ist fortgeschritten Zero-Trust-Segmentierungstechnologie bietet ein effizientes, skalierbares Policy-Management zum Schutz kritischer Ressourcen und zur Isolierung von Ransomware. Illumio ermöglicht es den Sicherheitsteams, einen Überblick über Kommunikationsprozesse und Pfade mit hohem Risiko zu geben. Schliessend setzen wir die vollständige Segmentierungskontrolle bis auf Workload-Ebene durch, um Ihre Angriffsfläche drastisch zu reduzieren und die Auswirkungen von Ransomware zu minimieren.

In drei einfachen Schritten kann Illumio Ihr Unternehmen vor Ransomware wie REvil schützen:

1. Ordnen Sie alle wichtigen und nicht wesentlichen ausgehenden Mitteilungen zu
2. Implementieren Sie schnell Richtlinien, um die Kommunikation in großem Umfang zu schließen
3. Überwachen Sie alle ausgehenden Verbindungen, die nicht geschlossen werden können
   

Weitere Best-Practice-Anleitungen zum Aufbau der Widerstandsfähigkeit gegen Ransomware finden Sie unter:

• Lesen Sie unser E-Book, So stoppen Sie Ransomware-Angriffe
• Laden Sie die Infografik herunter, 3 Schritte zum Stoppen von Ransomware
• Registriere dich für Das Illumio Erlebnis praktische Übungen, um sich selbst von der risikobasierten Transparenz und den Zero-Trust-Segmentierungsfunktionen von Illumio zu überzeugen