Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

Cómo detener los ataques de Clop Ransomware con Illumio

Ron Isaacson
,
Director Senior, Arquitectura Empresarial
January 21, 2022
23 min. lectura

El ransomware El paisaje es un espacio complejo y volátil. Las variantes van y vienen, los desarrolladores se toman prestado y se roban unos a otros, y los afiliados agregan sus propias personalizaciones a medida. Esto puede dificultar saber con quién o con qué se enfrenta exactamente cuando ocurre una violación. También puede hacer dos ataques separados de nominalmente el mismo colectivo potencialmente muy diferentes entre sí.

A pesar de toda esta complejidad y cambio, uno permanente en los últimos años ha sido el grupo Clop. Ha comprometido organizaciones tan diversas como bufetes de abogados globales y fabricantes de aviones, acumulando cientos de millones de dólares en el proceso.

Afortunadamente para los clientes de Illumio, podemos evitar que los ataques de Clop se conviertan en desastres cibernéticos. Todo se reduce a comprensión cómo los activos de red críticos se comunican entre sí y luego bloquean las conexiones no esenciales a escala.

¿De qué se trata Clop?

Clop es uno de los grupos de ransomware más ricos que existen. Los informes dicen lavadores de dinero conectados con el atuendo han tratado de ocultar al menos 500 millones de dólares. La cifra real de ingresos por ransomware es seguro que será muy mayor. El malware apareció por primera vez en 2019, una variante de una cepa anterior conocida como CryptoMix. En los años siguientes, se puso a trabajar apuntando a sectores tan diversos como el transporte y la logística, la educación, la manufactura, la salud y el comercio minorista.

Clop se ha asociado con múltiples vectores de acceso inicial en el pasado, desde ataques directos de phishing hasta día cero exploits dirigidos a un único proveedor de software de transferencia de archivos. Esta última técnica, muy inusual en el espacio del ransomware, obtuvo el notoriedad global del grupo y muchas víctimas corporativas.

Un hilo común que une la mayoría de estos ataques es el de la “doble extorsión”. Ahora común entre los actores de ransomware, fue popularizado por grupos como Clop. En un ataque de este tipo, las organizaciones víctimas no solo encuentran cifrados sus datos y sistemas más sensibles, sino que también podrían sufrir una grave violación de datos. Efectivamente eleva las apuestas para las víctimas corporativas. Es posible que tenga backups para los datos cifrados. Pero si los malos han robado IP confidenciales o datos de clientes altamente regulados, eso va a cambiar significativamente cualquier cálculo de riesgo.

¿Cómo funciona Clop?

Si bien hay mucha variación en los ataques de Clop, un patrón particular es instructivo en Modus operandi de afiliados. Explota mal configurado Directorio Activo (AD) sistemas para comprometer esas cuentas AD con privilegios de dominio. Esto proporciona a los atacantes las llaves del reino, permitiéndoles:

  • Ejecutar comandos remotos como scripts WMI y PowerShell en el endpoint comprometido y cualquier otro sistema conectado a él mediante AD.
  • Mantener la persistencia en un sistema comprometido mediante la creación de nuevas cuentas o la creación/modificación de procesos del sistema. Los actores de amenazas también podrían ejecutar comandos o inicializar scripts automáticamente al arrancar o iniciar sesión, en cualquier activo en red conectado a través de AD.

Con estas herramientas en su arsenal, los atacantes de Clop pueden moverse con bastante facilidad a través de organizaciones comprometidas, implementando ransomware y encontrar y exfiltrar datos confidenciales. Deben conectarse al internet público para hacerlo, con el fin de descargar herramientas adicionales y subir los datos robados.

Cómo detener Clop

En este escenario, la neutralización de la amenaza de Clop requiere que los equipos de seguridad obtengan información detallada sobre cómo funciona su configuración de AD. Al eliminar el acceso a privilegios de dominio de las cuentas que no lo necesitan, es decir, aplicar los principios de “privilegio mínimo”, pueden reducir el superficie de ataque de manera significativa. A continuación, restrinja las vías comunes que un ataque podría buscar explotar, incluyendo WinRM, NetBIOS y PYMES.

Cómo puede ayudar Illumio

Illumio ayuda a algunos de los más grandes del mundo organizaciones para frustrar los ataques de Clop y cualquier otro grupo de ransomware. Hacemos esto al proporcionar administración de políticas optimizada y escalable para ayudar a hacer cumplir Segmentación de confianza cero.

Con Illumio, puede comprender en tiempo real cómo los activos de red se comunican entre sí y salen a la Internet pública. Luego puedes tomar decisiones estratégicas sobre qué vías mantener abiertas y cuáles bloquear, reduciendo la superficie de ataque y dejando a los malos sin buenas opciones.

En resumen, Illumio puede ayudar a detener el ransomware Clop al:

  • Mapeo de todas las instancias y conexiones de Active Directory
  • Identificación de conexiones entradas/salientes esenciales
  • Implementación rápida de políticas para restringir las comunicaciones no esenciales a escala y monitorear cualquier camino que se haya dejado abierto

Como la mayoría de los grupos, Clop es resistente. Apenas unos días después de que una importante represión policial condujera a arrestos, fue respaldar y comprometer a las víctimas. La única manera de abordar este tipo de persistencia es con sofisticación Cero Confianza segmentación de Illumio.

Para leer más sobre cómo Illumio ayuda a contener los ataques de ransomware, contacta con nosotros hoy.

Temas relacionados

Contención de Ransomware

Artículos relacionados

S&P Global: Las 3 formas principales de abordar la amenaza de ransomware de infraestructura crítica
Contención de Ransomware

S&P Global: Las 3 formas principales de abordar la amenaza de ransomware de infraestructura crítica

Trevor Dearing, director de marketing de soluciones de Illumio, y Eric Hanselman, analista jefe de Inteligencia de Mercado Global de S&P Global se ocupan de las problemas del ransomware.

Leer más
Evaluación de vulnerabilidades para detener el ransomware
Contención de Ransomware

Evaluación de vulnerabilidades para detener el ransomware

Leer más
Preguntas y respuestas de expertos: ¿Por qué las empresas siguen teniendo que comprar ransomware?
Contención de Ransomware

Preguntas y respuestas de expertos: ¿Por qué las empresas siguen teniendo que comprar ransomware?

Conseguir la perspectiva de un experto sobre los factores que llevan a las organizaciones a pagar los resandos a pesar de sus riesgos reputacionales, financieros y de seguridad.

Leer más
9 razones para usar Illumio para la contención de ransomware
Contención de Ransomware

9 razones para usar Illumio para la contención de ransomware

Descubra cómo la visibilidad en tiempo real y los sencillos controles de Illumio reducirán rápidamente sus mayores fuentes de riesgos de ransomware, como los puertos RDP no utilizados.

Leer más
Cómo contener los ataques LockBit Ransomware con Illumio
Contención de Ransomware

Cómo contener los ataques LockBit Ransomware con Illumio

Descubra cómo funciona el ransomware LockBit y cómo Illumio Zero Trust Segmentation contenía un ataque de ransomware LockBit en el verano de 2022.

Leer más
Preguntas y respuestas de expertos: ¿Por qué las empresas siguen teniendo que comprar ransomware?
Contención de Ransomware

Preguntas y respuestas de expertos: ¿Por qué las empresas siguen teniendo que comprar ransomware?

Conseguir la perspectiva de un experto sobre los factores que llevan a las organizaciones a pagar los resandos a pesar de sus riesgos reputacionales, financieros y de seguridad.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información