Comment arrêter la variante Clop Ransomware avec Illumio

Le ransomware le paysage est un espace complexe et instable. Les variantes vont et viennent, les développeurs s'empruntent et se volent les uns aux autres, et les affiliés ajoutent leurs propres personnalisations sur mesure. Il peut donc être difficile de savoir à qui vous avez affaire ou à quoi exactement vous avez affaire en cas de violation. Il peut également faire en sorte que deux attaques distinctes provenant nominalement du même collectif soient potentiellement très différentes l'une de l'autre.

Malgré toute cette complexité et ces changements, le groupe Clop est devenu un acteur permanent ces dernières années. Elle a compromis des organisations aussi diverses que des cabinets d'avocats internationaux et des constructeurs aéronautiques, accumulant ainsi des centaines de millions de dollars.

Heureusement pour les clients d'Illumio, nous pouvons empêcher les attaques Clop de se transformer en cybercatastrophes. Tout se résume à compréhension comment les actifs critiques du réseau communiquent entre eux, puis bloquent les connexions non essentielles à grande échelle.

Qu'est-ce que Clop ?

Clop est l'un des groupes de rançongiciels les plus riches du marché. Les rapports disent des blanchisseurs d'argent liés à cette entreprise ont tenté de dissimuler au moins 500 millions de dollars. Le chiffre réel des revenus générés par les rançongiciels sera certainement bien plus élevé. Le malware est apparu pour la première fois en 2019, une variante d'une souche précédente connue sous le nom de CryptoMix. Au cours des années suivantes, il a été conçu pour cibler des secteurs aussi divers que le transport et la logistique, l'éducation, la fabrication, la santé et le commerce de détail.

Clop a été associé à plusieurs vecteurs d'accès initiaux dans le passé, qu'il s'agisse d'attaques de phishing directes ou de jour zéro exploits ciblant un seul fournisseur de logiciels de transfert de fichiers. Cette dernière technique, très inhabituelle dans le domaine des rançongiciels, a permis de notoriété mondiale du groupe et de nombreuses entreprises victimes.

L'un des points communs entre la plupart de ces attaques est la « double extorsion ». Désormais monnaie courante chez les acteurs des rançongiciels, elle a été popularisée par des groupes comme Clop. Lors d'une telle attaque, les organisations victimes trouvent non seulement leurs données et leurs systèmes les plus sensibles cryptés, mais elles peuvent également subir de graves violation de données. Cela augmente efficacement les enjeux pour les entreprises victimes. Il se peut que vous disposiez de sauvegardes pour les données chiffrées. Mais si les malfaiteurs ont volé des adresses IP sensibles ou des données clients hautement réglementées, cela modifiera considérablement le calcul des risques.

Comment fonctionne Clop ?

Bien qu'il existe de nombreuses variantes dans les attaques Clop, un schéma particulier est instructif dans mode opératoire des affiliés. Il exploite des fichiers mal configurés Active Directory systèmes (AD) pour compromettre ces comptes AD dotés de privilèges de domaine. Cela fournit aux attaquants les clés du royaume, ce qui leur permet de :

• Exécuter des commandes à distance tels que les scripts WMI et PowerShell sur le terminal compromis et sur tout autre système qui y est connecté via AD.
• Maintenir la persévérance sur un système compromis en créant de nouveaux comptes ou en créant/modifiant des processus système. Les acteurs malveillants peuvent également exécuter des commandes ou initialiser des scripts automatiquement au démarrage ou à la connexion, sur n'importe quel actif en réseau connecté via AD.

Avec ces outils dans leur arsenal, les attaquants Clop peuvent se déplacer assez facilement à travers les organisations compromises, en déployant ransomware et la recherche et l'exfiltration de données sensibles. Pour ce faire, ils doivent se connecter à l'Internet public afin de télécharger des outils supplémentaires et de télécharger les données volées.

Comment arrêter Clop

Dans ce scénario, la neutralisation de la menace Clop nécessite que les équipes de sécurité obtiennent des informations précises sur le fonctionnement de leur configuration AD. En supprimant l'accès aux privilèges de domaine pour les comptes qui n'en ont pas besoin, c'est-à-dire en appliquant les principes du « moindre privilège », ils peuvent réduire surface d'attaque de manière significative. Ensuite, limitez les voies courantes qu'une telle attaque pourrait chercher à exploiter, notamment WinRM, NetBIOS et SMB.

Comment Illumio peut vous aider

Illumio aide certaines des plus grandes entreprises du monde organisations pour contrecarrer les attaques de Clop et de tout autre groupe de rançongiciels. Pour ce faire, nous proposons une gestion des politiques rationalisée et évolutive pour aider à les appliquer Segmentation Zero Trust.

Avec Illumio, vous pouvez comprendre en temps réel comment les actifs du réseau communiquent entre eux et avec l'Internet public. Vous pouvez ensuite prendre des décisions stratégiques concernant les voies à garder ouvertes et celles à bloquer, ce qui réduit la surface d'attaque et ne laisse aucune bonne option aux malfaiteurs.

En bref, Illumio peut aider à arrêter le ransomware Clop en :

• Cartographie de toutes les instances et connexions Active Directory
• Identifier les connexions entrantes/sortantes essentielles
• Déploiement rapide d'une politique visant à restreindre les communications non essentielles à grande échelle et à surveiller toutes les voies laissées ouvertes

Comme la plupart des groupes, Clop est résilient. Quelques jours seulement après qu'une importante campagne de répression menée par les forces de l'ordre ait conduit à des arrestations, soutenir et compromettre les victimes. La seule façon de lutter contre ce type de persévérance est d'utiliser des méthodes sophistiquées Confiance zéro segmentation à partir d'Illumio.

Pour en savoir plus sur la façon dont Illumio contribue à atténuer les risques liés aux rançongiciels, consultez notre livre électronique, Comment arrêter les attaques de rançongiciels.