¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
Contención de ransomware
Illumio Editorial
Illumio Editorial
26de enero de 2023
23 min. leer

Cómo contener los ataques de LockBit Ransomware con Illumio

The risk of ransomware is top of mind for many organizations.

Con nuevos ataques constantemente en los titulares, es imposible evitarlos. En este punto, la mayoría de las organizaciones operan bajo el supuesto de que en algún momento serán violadas. La mejor manera de prevenir un desastre cibernético es planear esto y proteger su organización en consecuencia.

Illumio ayuda a las organizaciones a prevenir desastres cibernéticos al detener la propagación lateral este-oeste. Con Illumio, cuando ocurra esa brecha, se contendrá rápidamente. Illumio prohíbe la capacidad del ataque para progresar más allá de la primera carga de trabajo que secuestra y evita la pérdida de datos valiosos.

Hoy, lo guiaremos a través de un caso de uso real con LockBit para ilustrar lo siguiente:

  • ¿Qué es Lockbit?
  • ¿Cómo se ve esto en el mundo real?
  • Paso a paso cómo puedes solucionar esto con Illumio

Las brechas dan miedo, pero Illumio puede ayudarte a estar preparado.

Learn more about Illumio Zero Trust Segmentation.

¿Qué es Lockbit?

LockBit is a group running ransomware-as-a-service since 2019 that's been making headlines. While commonly known as ABCD ransomware, LockBit has now grown into a major threat, accounting for 48% of known attacks in 2022.

LockBit es un software malicioso que se dirige a las organizaciones a través de archivos adjuntos de email e infecciones del sistema de archivos en cascada. A diferencia de otros tipos de ransomware que se centran en compañías e individuos, LockBit afecta principalmente a compañías y organizaciones gubernamentales.

Una vez infectado, Lockbit se propaga a través de otros dispositivos en la red a través de SMB y PowerShell. El enfoque de estos ataques está en dispositivos Windows y Linux.

Veamos un ejemplo real de esta organización en acción.

Un ejemplo del mundo real: ataque de ransomware Lockbit

Esto está afectando a compañías y agencias de todo el mundo. Tan recientemente como el verano pasado, una gran organización multinacional que emplea a más de 150,000 personas fue golpeada por ransomware. LockBit se atribuyó la responsabilidad de este ataque y que pudieron robar datos.

La organización pudo mantener el control de sus sistemas de TI y tomó medidas defensivas para restaurar la integridad total de sus sistemas de TI. Comenzaron a trabajar con un tercero para investigar el incidente. A fines del otoño, todavía estaban investigando el problema.

Cuando surgen estas situaciones, puede ser increíblemente costoso y llevar mucho tiempo resolverlas. Más de tres meses después, la investigación estaba en curso. Esta es una realidad común para las organizaciones afectadas por todo tipo de ataques.

Illumio ayuda a las organizaciones a responder rápidamente a estas situaciones para limitar el impacto de una violación inevitable. Esto puede ahorrar tiempo y dinero en una investigación costosa.

Cómo abordar este escenario de ransomware con Illumio

La visibilidad es clave

Me alertan sobre el riesgo de que Lockbit entró en una de nuestras máquinas con Windows 10. El primer paso crítico en esta situación es comprender cuántos dispositivos potenciales podrían ver afectados.

Using Illumio's Illumination Plus, I can group my traffic based on OS (operating system):

illumio-illumination-plus

Esto me da una visión clara de mis dispositivos por sistema operativo. Puedo ver si hay algún tráfico activo entre los dispositivos Windows 10 y otros en toda mi organización para tomar decisiones informadas sobre qué hacer a continuación. Una cosa clave a tener en cuenta es que este tráfico es visible en tiempo real, sin necesidad de esperar o preocupar si se trata de una versión anterior. Sé que tengo acceso a la información más actualizada dentro de mi organización.

illumio-operating-system-traffic-visibility

Ahora que entiendo que actualmente hay tráfico entre mis dispositivos Windows 10 y otros dispositivos en toda mi organización, necesito formular rápidamente un plan para cerrar el tráfico entre estos dispositivos. Sé que LockBit usa comúnmente SMB y PowerShell para mover a través de una red, así que comenzaré haciendo un análisis de amenazas.

A continuación, moveré los dispositivos afectados a la cuarentena y apagaré SMB y PowerShell en cualquier lugar donde sepa que no es necesario.

Cree rápidamente reglas de denegación para evitar la propagación

To do this, I will need to create a deny rule within Illumio. These are referred to in the product as Enforcement Boundaries. First, I will create a new rule with a name such as, Block SMB and PowerShell.

Cuando hago clic en almacenar, Illumio me guía inmediatamente a una página donde puedo ver todas las conexiones potencialmente bloqueadas por esta nueva regla. Esta es una excelente manera de verificar dónde está el impacto y comprender qué podría ver afectado antes de implementar la regla.

illumio-draft-policy

Luego de revisar qué tráfico se verá afectado, hago clic en aprovisionar para aplicar la nueva política. Si hay casos en los que necesito que este tráfico continúe, por ejemplo, permitir que las estaciones de trabajo de Windows sigan accediendo a un servidor de archivos específico a través de SMB, puedo hacer excepciones con reglas de licencia.

Protección ahora

Con solo hacer clic en un botón, Illumio aplica inmediatamente los cambios a todas las cargas de trabajo afectadas. Esto le da a mi organización una protección rápida en una situación crítica para el negocio.

Ahora que puse en cuarentena los dispositivos afectados e implementé una regla para limitar la comunicación con el resto de la red, eliminé el riesgo de una mayor propagación. En este punto, puedo comenzar la tarea de revisar los dispositivos en cuarentena.

Read the Bishop Fox report that proves Illumio stops ransomware in less than 10 minutes compared to endpoint detection and response (EDR) solutions.

Sea proactivo contra la propagación de ransomware con Illumio

Contar con una solución como Illumio permite a las organizaciones ser proactivas a la hora de controlar la propagación de cualquier tráfico no deseado entre dispositivos. Illumio limita el movimiento lateral este-oeste de un ataque, dando a las herramientas de detección y respuesta el tiempo que necesitan para identificar amenazas.

Illumio works alongside the traditional security tools, such as EDR, NDR, XDR, and perimeter firewalls, to improve cyber resilience.

Contact Illumio today to see rapid breach containment like never before.

Temas relacionados

Respuesta a incidentes
Contención de ransomware

Artículos relacionados

CCPA y seguridad confiable cero para PII: atención médica y educación
Contención de ransomware

CCPA y seguridad confiable cero para PII: atención médica y educación

Descubra cómo la microsegmentación y Zero Trust ayudan a las instituciones de atención médica y educación a proteger la PII bajo la CCPA, sin rediseñar su red.

Lee más
Puntos ciegos de Kubernetes: por qué la seguridad de contenedores sin agentes es imprescindible
Contención de ransomware

Puntos ciegos de Kubernetes: por qué la seguridad de contenedores sin agentes es imprescindible

Descubra por qué la seguridad de contenedores sin agentes de Illumio ofrece la visibilidad y la segmentación automatizada que los equipos necesitan para mantener seguros.

Lee más
Ransomware en 2025: costo, tendencias y cómo reducir su riesgo
Contención de ransomware

Ransomware en 2025: costo, tendencias y cómo reducir su riesgo

Descubra cómo los atacantes explotan las brechas de seguridad, por qué el ransomware es ahora un modelo de negocio y cómo la microsegmentación puede detener las amenazas en seco.

Lee más
Cómo Brooks usa Illumio para evitar que el ransomware se descontrole
Contención de ransomware

Cómo Brooks usa Illumio para evitar que el ransomware se descontrole

Vea por qué Brooks eligió Illumio Zero Trust Segmentation para garantizar la confiabilidad de sus negocios minoristas y de comercio electrónico.

Lee más
Bishop Fox: Prueba de la eficacia de las segmentaciones de confianza cero contra el ransomware
Contención de ransomware

Bishop Fox: Prueba de la eficacia de las segmentaciones de confianza cero contra el ransomware

Descubra cómo Bishop Fox creó una emulación de ataque de ransomware para probar la eficacia de la segmentación de confianza cero.

Lee más
Obtenga un ROI confiable con Illumio
segmentación

Obtenga un ROI confiable con Illumio

Las redes híbridas e hiperconectadas de hoy en día hicieron que la prevención por sí sola sea ineficaz, la contención de Zero Trust ofrece un mejor retorno de la inversión del centro de llamadas de soluciones.

Lee más

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Aprenda más