Blogue
/
Confinement des ransomwares

Comment contenir le ransomware LockBit avec Illumio

Melody Scheidler
,
Directeur principal du marketing des produits
January 26, 2023
23 min. de lecture

Le risque de rançongiciel est une priorité pour de nombreuses organisations.

Les nouvelles attaques faisant constamment la une des journaux, il est impossible de l'éviter. À ce stade, la plupart des organisations partent du principe qu'à un moment donné, elles seront violées. La meilleure façon de prévenir une cybercatastrophe est de s'y préparer et de protéger votre organisation en conséquence.

Illumio aide les organisations à prévenir les cybercatastrophes en stoppant la propagation latérale est-ouest. Avec Illumio, lorsque cette violation se produira, elle sera rapidement maîtrisée. Illumio empêche l'attaque de dépasser la première charge de travail détournée et empêche la perte de données précieuses.

Aujourd'hui, nous allons vous présenter un cas d'utilisation réel de LockBit pour illustrer les points suivants :

  • Qu'est-ce que Lockbit ?
  • À quoi cela ressemble-t-il dans le monde réel ?
  • Comment résoudre ce problème étape par étape avec Illumio

Les brèches sont effrayantes, mais Illumio peut vous aider à vous y préparer.

En savoir plus sur Illumio Zero Trust Segmentation ici.

Qu'est-ce que Lockbit ?

LockBit est un groupe qui gère des rançongiciels en tant que service depuis 2019 et qui fait la une des journaux. Bien que communément connu sous le nom de rançongiciel ABCD, LockBit est aujourd'hui devenu une menace majeure, représentant 48 % des attaques connues en 2022.

LockBit est un logiciel malveillant qui cible les organisations par le biais de pièces jointes à des e-mails et d'infections de systèmes de fichiers en cascade. Contrairement à d'autres types de rançongiciels qui ciblent les entreprises et les particuliers, LockBit touche principalement les entreprises et les organisations gouvernementales.

Une fois infecté, Lockbit se propage via d'autres appareils du réseau via SMB et PowerShell. Ces attaques se concentrent sur les appareils Windows et Linux.

Regardons un exemple concret de cette organisation en action.

Un exemple concret : l'attaque du rançongiciel Lockbit

Cela a un impact sur les entreprises et les agences du monde entier. Pas plus tard que l'été dernier, une grande organisation multinationale employant plus de 150 000 personnes a été victime d'un ransomware. LockBit a revendiqué la responsabilité de cette attaque et affirme avoir pu voler des données.

L'organisation a pu garder le contrôle de ses systèmes informatiques et a pris des mesures défensives pour rétablir l'intégrité totale de ses systèmes informatiques. Ils ont commencé à travailler avec une tierce partie pour enquêter sur l'incident. À la fin de l'automne, ils enquêtaient toujours sur la question.

Lorsque de telles situations se présentent, leur résolution peut être extrêmement coûteuse et fastidieuse. Plus de trois mois plus tard, l'enquête se poursuivait. Il s'agit d'une réalité courante pour les organisations touchées par tous les types d'attaques.

Illumio aide les organisations à réagir rapidement à ces situations afin de limiter l'impact d'une violation inévitable. Cela permet d'économiser du temps et de l'argent lors d'une enquête coûteuse.

Comment aborder ce scénario de ransomware avec Illumio

La visibilité est essentielle

Je suis alerté d'un risque que Lockbit ait pu pénétrer dans l'une de nos machines Windows 10. La première étape critique dans cette situation est de comprendre combien d'appareils potentiels pourraient être affectés.

En utilisant Illumio Illumio Plus, je peux regrouper mon trafic en fonction du système d'exploitation (OS) :

illumio-illumination-plus

Cela me donne une vision claire de mes appareils par système d'exploitation. Je peux voir s'il existe du trafic actif entre les appareils Windows 10 et d'autres appareils de mon organisation afin de prendre des décisions éclairées quant à la marche à suivre. Un élément clé à noter est que ce trafic est visible en temps réel, pas besoin d'attendre ou de s'inquiéter s'il s'agit d'une ancienne version. Je sais que j'ai accès aux informations les plus récentes au sein de mon organisation.

illumio-operating-system-traffic-visibility

Maintenant que je comprends qu'il existe actuellement du trafic entre mes appareils Windows 10 et d'autres appareils de mon entreprise, je dois rapidement élaborer un plan pour arrêter le trafic entre ces appareils. Je sais que LockBit utilise couramment SMB et PowerShell pour se déplacer sur un réseau. Je vais donc commencer par effectuer une analyse des menaces.

Ensuite, je mettrai les appareils concernés en quarantaine et je fermerai SMB et PowerShell partout où je sais que ce n'est pas nécessaire.

Élaborez rapidement des règles de refus pour empêcher la propagation

Pour ce faire, je vais devoir créer une règle de refus dans Illumio. Ils sont désignés dans le produit sous le nom de Limites d'application. Tout d'abord, je vais créer une nouvelle règle avec un nom tel que Block SMB et PowerShell.

Lorsque je clique sur Enregistrer, Illumio me dirige immédiatement vers une page où je peux voir toutes les connexions potentiellement bloquées par cette nouvelle règle. C'est un excellent moyen de vérifier où se situe l'impact et de comprendre ce qui pourrait être affecté avant de mettre en place la règle.

illumio-draft-policy

Après avoir examiné le trafic qui sera affecté, je clique sur Provision pour appliquer la nouvelle politique. S'il y a des cas où j'ai besoin de ce trafic pour continuer, par exemple pour autoriser les stations de travail Windows à accéder à un serveur de fichiers spécifié via SMB, je peux faire des exceptions avec des règles d'autorisation.

Protection dès maintenant

D'un simple clic, Illumio applique immédiatement les modifications à toutes les charges de travail concernées. Cela donne à mon organisation une protection rapide dans une situation critique pour l'entreprise.

Maintenant que j'ai mis en quarantaine les appareils concernés et mis en place une règle pour limiter les communications avec le reste du réseau, j'ai éliminé le risque de propagation. À ce stade, je peux commencer à examiner les appareils mis en quarantaine.

Lisez le Rapport de Bishop Fox qui prouve qu'Illumio arrête les rançongiciels en moins de 10 minutes par rapport aux solutions EDR (Endpoint Detection and Response).

Soyez proactif contre la propagation des rançongiciels avec Illumio

La mise en place d'une solution telle qu'Illumio permet aux entreprises d'être proactives pour contrôler la propagation de tout trafic indésirable entre les appareils. Illumio limite le mouvement latéral est-ouest d'une attaque, donnant aux outils de détection et de réponse le temps dont ils ont besoin pour identifier les menaces.

Illumio fonctionne parallèlement aux outils de sécurité traditionnels, tels que l'EDR, le NDR, le XDR et les pare-feux périmétriques, pour améliorer cyber-résilience.

Contacter Illumio va assister aujourd'hui à un confinement rapide des brèches comme jamais auparavant.

Sujets connexes

Réponse aux incidents
Confinement des ransomwares

Articles connexes

S&P Global : les trois meilleurs moyens de faire face à la menace des rançongiciels qui pèsent sur les infrastructures critiques
Confinement des ransomwares

S&P Global : les trois meilleurs moyens de faire face à la menace des rançongiciels qui pèsent sur les infrastructures critiques

Trevor Dearing, directeur marketing des solutions Illumio, et Eric Hanselman, analyste en chef de Global Market Intelligence chez S&P Global, répondent aux préoccupations liées aux rançongiciels.

En savoir plus
How to Meet CISA’s Phobos Ransomware Guidance With Illumio
Confinement des ransomwares

How to Meet CISA’s Phobos Ransomware Guidance With Illumio

Be prepared for Phobos ransomware with the Illumio Zero Trust Segmentation Platform.

En savoir plus
NOM : WRECK Takeaways — Comment la microsegmentation peut contribuer à la visibilité et au confinement
Confinement des ransomwares

NOM : WRECK Takeaways — Comment la microsegmentation peut contribuer à la visibilité et au confinement

Comment la microsegmentation peut contribuer à améliorer la visibilité et à prévenir les vulnérabilités WRECK, l'exécution de code à distance ou les dénis de service.

En savoir plus
Comment Brooks utilise Illumio pour empêcher les rançongiciels de se propager
Confinement des ransomwares

Comment Brooks utilise Illumio pour empêcher les rançongiciels de se propager

Découvrez pourquoi Brooks a choisi Illumio Zero Trust Segmentation pour garantir la fiabilité de ses activités de vente au détail et de commerce électronique.

En savoir plus
Bishop Fox : Tester l'efficacité des segmentations Zero Trust contre les rançongiciels
Confinement des ransomwares

Bishop Fox : Tester l'efficacité des segmentations Zero Trust contre les rançongiciels

Découvrez comment Bishop Fox a créé une émulation d'attaque par rançongiciel pour tester l'efficacité de la segmentation Zero Trust.

En savoir plus
Obtenez un retour sur investissement fiable grâce à la segmentation Zero Trust d'Illumio
Segmentation Zero Trust

Obtenez un retour sur investissement fiable grâce à la segmentation Zero Trust d'Illumio

Les réseaux hybrides et hyperconnectés actuels ont rendu la prévention à elle seule inefficace. Le confinement Zero Trust offre une meilleure solution pour le retour sur investissement des centres d'appels.

En savoir plus

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus