BlackMatter ランサムウェア:セグメンテーションでリスクを軽減
米国政府のさまざまなセキュリティに焦点を当てた機関は、最近ますます声を上げています。これは、推定で 68 種類もの異なる亜種が存在するランサムウェア環境に直面している組織にとっては朗報です。 最新のアラート サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)、連邦捜査局(FBI)、および国家安全保障局(NSA)は、比較的新しいことを警告しています サービスとしてのランサムウェア ブラックマターとして知られる (RaaS) グループ。
ブラックマターとは?
BlackMatter RaaSグループは7月に初めて登場し、噂が渦巻いていました リンクがあるかもしれません 数か月前に引退した悪名高いダークサイド作戦へ。ダークサイドが担当しました コロニアル・パイプライン攻撃これにより、東海岸の主要な燃料パイプラインが5月に数日間停止しました。
アラートによると、BlackMatterは回避していると主張しているにもかかわらず、すでに「複数の」米国の重要インフラプロバイダーを標的にしています 健康管理、政府、石油・ガス、その他の業種。CISAによると、これらのプロバイダーの1つであるNew Cooperativeは先月590万ドルの身代金を受け取ったが、BlackMatterの支払い要求額は1,500万ドルに達する可能性があるという。
被害者組織には、次のようなさまざまなビジネス上の波及リスクが潜んでいます。
- 修復、調査、およびクリーンアップの費用
- 規制罰金
- 評判の低下と顧客の減少
- 特に個人データが漏洩した場合の法的費用
- 生産性への影響と業務停止
- 売り上げの損失
ブラックマターはどのように動作しますか?
CISAアラートには、特定のBlackMatterサンプルのサンドボックス分析に基づいて、セキュリティチームが理解すべきことがたくさんあります。RaaS の運用としては、複数のグループが同じランサムウェアをわずかに異なる方法で利用してターゲットを攻撃する可能性があることを指摘しておく必要があります。
とはいえ、アラートで概説されている戦術、技法、手順(TTP)は次のように要約できます。
被害者ネットワークへの固執性 — 正規のリモートモニタリングとデスクトップツールを備えたトライアルアカウントの使用
認証情報アクセス — Microsoftのプロセスモニター(procmon)ツールを使用して、ローカルセキュリティ機関サブシステムサービス(LSASS)メモリから認証情報を収集する
すべてのアクティブディレクトリホストの検出 —(ライトウェイトディレクトリアクセスプロトコル)LDAPおよびサーバーメッセージブロック(SMB)プロトコルに埋め込まれた、以前に侵害された認証情報の使用
実行中のすべてのプロセスの列挙 — NT クエリーシステム情報の使用
ネットワーク上で実行中のすべてのサービスの列挙 — EnumサービスステータスXWの使用
横方向の動き —「srvsvc.NetShareEnumAll」のマイクロソフトリモートプロシージャコール(MSRPC)機能を使用して検出されたすべての共有を一覧表示し、SMBを使用してそれらに接続します
データ漏洩 — データを盗んで二重恐喝する
暗号化 — SMB プロトコルによる共有のリモート暗号化。BlackMatter はバックアップシステムを消去する場合もあります。
イルミオはどのように役立ちますか?
CISAアラートには、組織が攻撃の影響を軽減するために取ることができる複数のベストプラクティスステップが記載されています。その内容は、強力なパスワード管理や多要素認証から、パッチ管理、ネットワークリソースへの最小権限アクセスの実装まで多岐にわたります。
ただし、最も重要な推奨事項の1つは、 セグメンテーションを実装してランサムウェアを制限する ネットワーク上を自由に移動する機能:
」セグメントネットワーク ランサムウェアの拡散を防ぐためです。ネットワークセグメンテーションは、さまざまなサブネットワーク間のトラフィックフローやアクセスを制御し、攻撃者の水平移動を制限することで、ランサムウェアの拡散を防ぐのに役立ちます。」
これがイルミオの出番です。実際、私たちは従来のネットワークセグメンテーションを超えて、 ゼロトラストセグメンテーション 大手アナリスト企業が推奨するアプローチ フォレスター そして ガートナー。
イルミオ ランサムウェアを即座に阻止 単純な 3 段階のアプローチで
- リスクベースの可視性を実現: Illumioは、すべてのワークロード、データセンター、パブリッククラウドにわたる通信と依存関係を自動的にマッピングします。
- リスクの評価:イルミオは、最もリスクの高い企業アプリケーションとシステムを強調しています。
- ランサムウェアを封じ込める:この知見をもとに、以下のような危険な経路や港湾を封鎖します。 SMB、横方向の動きを容易にするために使用できます。
これらの措置に従うことで、IllumioはBlackMatterのようなランサムウェアの脅威アクターが重要な資産を隔離しながら深刻な被害を引き起こす前に、積極的に制限することができます。 ポリシー生成 あらゆるタイプのワークロード(ベアメタル、仮想マシン、コンテナ)に最適化されたセグメンテーションポリシーを提案する自動プロセスによって簡素化されます。また、緊急ロックダウンスイッチを事前に構築して、違反が発生した場合に起動して特定のネットワーク通信を遮断することもできます。
現在、100% のセキュリティ侵害対策が講じられていると自信を持って主張できる組織はありません。しかし、イルミオがあれば、脅威アクターが取り返しのつかない被害を引き起こす前に阻止するテクノロジーが手に入ります。
さらに詳しく知るには:
- イルミオを訪ねる可視性とランサムウェアの封じ込め ページ。
- 論文を読んで、 ランサムウェアがサイバー災害になるのを防ぐ方法。
- ブログ投稿をチェックして、ランサムウェア対策にイルミオを使う9つの理由。