.png)
BlackMatter Ransomware : réduisez vos risques grâce à la segmentation
Les différentes agences du gouvernement américain axées sur la sécurité se sont récemment fait de plus en plus entendre. C'est une bonne nouvelle pour les entreprises confrontées à un paysage de rançongiciels peuplé d'environ 68 variantes distinctes. La dernière alerte de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), du Federal Bureau of Investigation (FBI) et de la National Security Agency (NSA) met en garde contre une situation relativement nouvelle un ransomware en tant que service (RaaS) groupe connu sous le nom de BlackMatter.
Qu'est-ce que BlackMatter ?
Le groupe BlackMatter RaaS a fait irruption pour la première fois en juillet, avec des rumeurs selon lesquelles il peut avoir des liens à la tristement célèbre opération DarkSide qui a pris sa retraite quelques mois plus tôt. DarkSide était responsable de Attentat sur le Colonial, qui a provoqué la fermeture du principal oléoduc de la côte Est pendant plusieurs jours en mai.
Selon l'alerte, BlackMatter a déjà ciblé « plusieurs » fournisseurs d'infrastructures critiques américains, bien qu'il ait prétendu éviter services de soins, le gouvernement, le pétrole et le gaz et d'autres secteurs verticaux. L'un de ces fournisseurs, New Cooperative, a reçu une rançon de 5,9 millions de dollars le mois dernier, bien que les demandes de paiement de BlackMatter puissent atteindre 15 millions de dollars, affirme la CISA.
Pour les organisations de victimes, il existe toute une série de risques commerciaux potentiels, notamment :
- Coûts d'assainissement, d'investigation et de nettoyage
- Amendes réglementaires
- Atteinte à la réputation et perte de clientèle
- Frais juridiques, notamment en cas de fuite de données personnelles
- Impact sur la productivité et interruptions opérationnelles
- Ventes perdues
Comment fonctionne BlackMatter ?
L'alerte CISA contient de nombreuses informations à digérer pour les équipes de sécurité, sur la base d'une analyse sandbox d'un échantillon BlackMatter spécifique. Il est important de souligner que, dans le cadre d'une opération RaaS, plusieurs groupes peuvent utiliser le même ransomware de manière légèrement différente pour attaquer leurs cibles.
Cela dit, les tactiques, techniques et procédures (TTP) décrites par l'alerte peuvent être résumées comme suit :
Persistance sur les réseaux de victimes — en utilisant des comptes d'essai dotés d'outils de surveillance à distance et de bureau légitimes
Accès aux informations d'identification — collecte des informations d'identification depuis la mémoire du service LSASS (Local Security Authority Subsystem Service) à l'aide de l'outil Process Monitor (procmon) de Microsoft
Découverte de tous les hôtes Active Directory — en utilisant des informations d'identification précédemment compromises intégrées dans le protocole LDAP (Lightweight Directory Access Protocol) et le protocole SMB (Server Message Block)
Énumération de tous les processus en cours — en utilisant NTQuerySystemInformation
Énumération de tous les services en cours d'exécution sur le réseau — en utilisant EnumServicesStatusExw
Mouvement latéral — en utilisant la fonction Microsoft Remote Procedure Call (MSRPC) « SrvSvc.NetShareEnumAll » pour répertorier tous les partages découverts, puis SMB pour s'y connecter
Exfiltration de données — pour voler des données à des fins de double extorsion
Chiffrement — chiffrement à distance des partages via le protocole SMB. BlackMatter peut également effacer les systèmes de sauvegarde
Comment Illumio peut-il vous aider ?
L'alerte CISA répertorie plusieurs bonnes pratiques que les organisations peuvent prendre pour atténuer l'impact d'une attaque. Cela va de la gestion robuste des mots de passe à l'authentification multifactorielle, en passant par la gestion des correctifs et la mise en œuvre de l'accès au moindre privilège aux ressources réseau.
Cependant, l'une des recommandations les plus importantes est de implémenter la segmentation pour limiter les rançongiciels possibilité de se déplacer librement sur le réseau :
»Réseaux segmentés pour empêcher la propagation des rançongiciels. La segmentation du réseau peut contribuer à empêcher la propagation des rançongiciels en contrôlant les flux de trafic entre les différents sous-réseaux, ainsi que l'accès à ceux-ci, et en limitant les mouvements latéraux de l'adversaire. »
C'est là qu'Illumio prend tout son sens. En fait, nous allons au-delà de la segmentation traditionnelle du réseau avec un Segmentation Zero Trust approche recommandée par les principaux cabinets d'analystes Forrester et Gartner.
Illumio stoppe le développement des rançongiciels avec une approche simple en trois étapes :
- Bénéficiez d'une visibilité basée sur les risques : Illumio cartographie automatiquement les communications et les dépendances entre toutes les charges de travail, les centres de données et les clouds publics.
- Évaluez le risque : Illumio met en lumière les applications et les systèmes d'entreprise les plus exposés.
- Contient un ransomware : Nous utilisons ces informations pour verrouiller toutes les voies et tous les ports risqués, tels que SMB, qui peut être utilisé pour faciliter les mouvements latéraux.
En suivant ces étapes, Illumio peut restreindre de manière proactive les acteurs de la menace des rançongiciels tels que BlackMatter avant qu'ils ne causent de graves dommages tout en isolant les actifs critiques. Génération de politiques est simplifié grâce à des processus automatisés qui suggèrent des politiques de segmentation optimisées pour tout type de charge de travail (bare-metal, machines virtuelles, conteneurs). Nous pouvons même préconstruire un commutateur de verrouillage d'urgence à activer en cas de violation afin de bloquer des communications réseau spécifiques.
Aucune entreprise ne peut affirmer avec certitude qu'elle est à 100 % résistante aux violations aujourd'hui. Mais avec Illumio, vous disposez de la technologie nécessaire pour arrêter les acteurs malveillants avant qu'ils ne causent des dommages irréparables.
Pour en savoir plus :
- Visitez Illumio's visibilité et confinement des rançongiciels page.
- Lisez le journal, Comment éviter que les rançongiciels ne deviennent une cybercatastrophe.
- Consultez l'article de blog, 9 raisons d'utiliser Illumio pour lutter contre les rançongiciels.
