Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Contención de Ransomware

Detener Revil: cómo Illumio puede interrumpir uno de los grupos de ransomware más prolíficos

Ron Isaacson
,
Director Senior, Arquitectura Empresarial
February 11, 2022
23 min. lectura

Los grupos de ransomware van y vienen. Pero pocos tienen el reconocimiento de nombre de ReVil. También conocido como Sodinokibi, el grupo y sus afiliados han sido responsables de algunas de las brechas más audaces de los últimos 12-18 meses. Estos incluyen incursiones en un bufete de abogados de celebridades y un gigante de procesamiento de carne, que le dio a los atacantes 11 millones de dólares. Otras campañas notables incluyen ataque sofisticado a la empresa de software de TI Kaseya y el compromiso del fabricante taiwanés y cliente de Apple Cuanta Computadora.

Estos dos últimos destacan por sus escandalosas demandas de rescate, 70 millones de dólares y 50 millones de dólares, respectivamente. Pero también porque explotaron las cadenas de suministro mundiales, aunque de diferentes maneras, para avanzar en sus objetivos.

Y mientras que Revil ha sido interrumpido recientemente por detenciones y sanciones, el grupo es según se informa operaciones continuadas. La buena noticia es que con Illumio a la mano para mapear, monitorear y bloquear conexiones de red de alto riesgo, puede mitigar la amenaza ReVil, y la de cualquier iteración que siga si el grupo finalmente desaparece.

¿Por qué son peligrosos los ataques a la cadena de suministro?

Los ataques de ransomware en la cadena de suministro son peligrosos porque pueden interrumpir toda la red de negocios interconectados. Estos ataques pueden detener la producción, retrasar las entregas y causar pérdidas financieras significativas.

Además, pueden conducir a violaciones de datos, exponiendo información confidencial en múltiples organizaciones, lo que socava la confianza y daña la reputación.

La interdependencia dentro de las cadenas de suministro significa que un ataque a una entidad puede tener un efecto en cascada, impactando a muchos otros negocios y potencialmente llevando a consecuencias económicas generalizadas.

El allanamiento de abril de 2021 en Quanta Computer fue inteligente. Como socio clave de fabricación por contrato para Apple, tiene acceso a algunos planos altamente sensibles y a la propiedad intelectual de los productos. También, calculó Revil, podría estar menos bien protegido que el gigante tecnológico de Cupertino.

Cuando Quanta se negó a pagar, el grupo fue a Apple a exigir el rescate, o de lo contrario filtrarían o venderían los documentos robados. No sabemos si tuvieron éxito, pero todos los datos relacionados con la redada fue subsecuentemente eliminado del sitio de fugas de ReVil, según reportes.

¿Qué nos dice este incidente? En primer lugar, su organización puede convertirse en ransomware/Revil target si realiza negocios con asociados de negocios de alto valor. Y segundo, solo estás tan seguro como tus proveedores menos seguros.

¿Cómo funciona ReVil?

El ataque Quanta en sí contenía algunos elementos únicos. Pero el patrón amplio —explotar software o servicios vulnerables y orientados hacia el exterior— se ha utilizado en innumerables campañas.

En este caso, REvil se dirigió a una vulnerabilidad en el software Oracle WebLogic. Esto permitió a los actores de amenazas obligar a un servidor comprometido a descargar y ejecutar malware sin ninguna acción del usuario. Hubo dos etapas principales:

  1. Los atacantes hicieron una conexión HTTP a un servidor WebLogic sin parches, luego lo obligaron a descargar la variante de ransomware Sodinokibi. Utilizaron un comando de PowerShell para descargar un archivo llamado “radm.exe” de direcciones IP maliciosas, y luego obligaron al servidor a guardar el archivo localmente y ejecutarlo.
  2. Los atacantes intentaron cifrar los datos en el directorio del usuario e interrumpir la recuperación de datos eliminando “copias ocultas” de los datos cifrados que Windows crea automáticamente.

¿Cómo puedes detener a Revil?

Una buena higiene cibernética, como la pronta revisión de endpoints de alto riesgo, puede ayudar a reducir la superficie de ataque para las organizaciones. Pero más allá de esto, se pueden tomar medidas más integrales a nivel de red.

Las organizaciones deben comprender que incluso los canales de confianza y el software de terceros pueden convertirse en un conducto para el malware y el ransomware. Mitigar este riesgo requiere segmentar cualquier solución lista para usar del resto del entorno, especialmente herramientas de seguridad como la detección y respuesta de puntos finales (EDR) y la detección y respuesta extendidas (XDR).

Las empresas también deben considerar identificar y restringir cualquier conexión saliente no esencial. Eso significa bloquear todo excepto las comunicaciones a IP de destino autorizadas, incluso en los puertos 80 y 443. Esto interrumpirá a los actores de amenazas que intentan “llamar a casa” a los servidores de comando y control (C&C) con el fin de descargar herramientas adicionales para progresar los ataques. También bloqueará los intentos de exfiltrar datos fuera de la organización a servidores bajo su control.

Cómo puede ayudar Illumio

Illumio es avanzado Tecnología de segmentación de confianza cero ofrece administración de políticas escalable y sin esfuerzo para proteger los activos críticos y aislar el ransomware. Illumio permite a los equipos de seguridad obtener visibilidad de los flujos de comunicación y las vías de alto riesgo. Luego, imponemos un control completo de segmentación hasta el nivel de carga de trabajo para reducir drásticamente su superficie de ataque y minimizar el impacto del ransomware.

En tres sencillos pasos, Illumio puede proteger a su organización de ransomware como ReVil:

  1. Mapear todas las comunicaciones salientes esenciales y no esenciales
  2. Implementar políticas rápidamente para restringir las comunicaciones a escala
  3. Supervisar las conexiones salientes que no se pueden cerrar

Para obtener más orientación sobre las mejores prácticas sobre la creación de resiliencia frente al ransomware:

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Reducción de ransomware 101: Movimiento lateral entre endpoints
Contención de Ransomware

Reducción de ransomware 101: Movimiento lateral entre endpoints

Leer más
Ransomware: cómo las organizaciones pequeñas y medianas pueden detener su propagación
Contención de Ransomware

Ransomware: cómo las organizaciones pequeñas y medianas pueden detener su propagación

Leer más
Bishop Fox: Probando la efectividad de segmentaciones de confianza cero contra el ransomware
Contención de Ransomware

Bishop Fox: Probando la efectividad de segmentaciones de confianza cero contra el ransomware

Conozca cómo Bishop Fox creó una emulación de ataque de ransomware para probar la efectividad de la Segmentación de Confianza Cero.

Leer más
Cómo contener los ataques LockBit Ransomware con Illumio
Contención de Ransomware

Cómo contener los ataques LockBit Ransomware con Illumio

Descubra cómo funciona el ransomware LockBit y cómo Illumio Zero Trust Segmentation contenía un ataque de ransomware LockBit en el verano de 2022.

Leer más
3 pasos para evitar que el ransomware se propague
Contención de Ransomware

3 pasos para evitar que el ransomware se propague

Descubra los pasos para evitar que el ransomware se propague limitando las conexiones, ampliando la visibilidad y mejorando el tiempo de respuesta.

Leer más
Por qué los firewalls no son suficientes para la contención del ransomware
Contención de Ransomware

Por qué los firewalls no son suficientes para la contención del ransomware

Descubra las razones por las que los firewalls son demasiado lentos para mantenerse al día con las amenazas y por qué la microsegmentación es clave para la contención del ransomware.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información