セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
ランサムウェアの拡散阻止
ラグー・ナンダクマラ
業界戦略担当副社長
Illumio Editorial
10月 20日、 2021
23分読む

BlackMatter ランサムウェア: イルミオのゼロトラストセグメンテーションでリスクを軽減

米国政府の安全保障に重点を置いたさまざまな機関は、最近ますます声を上げている。これは、推定68の個別の亜種が存在するランサムウェアの状況に直面している組織にとって朗報です。サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局(NSA)からの最新のアラートは、BlackMatterとして知られる比較的新しいランサムウェア・アズ・ア・サービス(RaaS)グループについて警告しています。

BlackMatterとは?

BlackMatter RaaS グループは 7 月に初めて登場し、数か月前に廃止された悪名高い DarkSide 事業と 関係があるのではない かという噂が飛び交いました。ダークサイドはコ ロニアル・パイプライン攻撃の責任を負っており、5月に東海岸の主要燃料パイプラインが数日間停止した。

アラートによると、BlackMatterは 、医療、政府、石油・ガス、その他の業種を避けると主張しているにもかかわらず、すでに米国の「複数の」重要インフラプロバイダーを標的にしている。これらのプロバイダーの1つであるNew Cooperativeは先月、590万ドルの身代金を支払われたが、BlackMatterの支払い要求額は1,500万ドルに達する可能性があるとCISAは主張している。

被害者の組織には、次のようなさまざまな潜在的な波及的なビジネスリスクがあります。

  • 修復、調査、クリーンアップの費用
  • 規制上の罰金
  • 風評被害と顧客離脱
  • 特に個人データが漏洩した場合の訴訟費用
  • 生産性への影響と運用停止
  • 売上の損失

BlackMatterはどのように動作しますか?

CISAアラートには、特定のBlackMatterサンプルのサンドボックス分析に基づいて、セキュリティチームが消化すべきものがたくさんあります。RaaS オペレーションとして、複数のグループが同じランサムウェアをわずかに異なる方法で使用してターゲットを攻撃する可能性があることを指摘することが重要です。

とはいえ、アラートで概説されている戦術、技術、手順(TTP)は次のように要約できます。

被害者のネットワークでの永続化- 正規のリモート モニタリング ツールとデスクトップ ツールを使用した試用アカウントの使用

資格情報へのアクセス- Microsoft の Process Monitor (procmon) ツールを使用して、Local Security Authority Subsystem Service (LSASS) メモリから資格情報を収集

すべての Active Directory ホストの検出- LDAP (Lightweight Directory Access Protocol) および Server Message Block (SMB) プロトコルに埋め込まれた、以前に侵害された資格情報の使用

実行中のすべてのプロセスの列挙- NtQuerySystemInformation の使用

ネットワーク上で実行中のすべてのサービスの列挙- EnumServicesStatusExW の使用

横方向の移動 — 「srvsvc.NetShareEnumAll」Microsoft リモート プロシージャ コール (MSRPC) 関数を使用して、検出されたすべての共有を一覧表示し、SMB を使用してそれらに接続します

データの窃盗— 二重の恐喝のためにデータを盗みます

暗号化— SMB プロトコルを介して共有をリモートで暗号化します。BlackMatterはバックアップシステムも消去する可能性がある

イルミオゼロトラストセグメンテーションがどのように役立つか

CISAアラートには、攻撃の影響を軽減するために組織が実行できる複数のベストプラクティス手順がリストされています。これらは、強力なパスワード管理や多要素認証から、パッチ管理やネットワークリソースへの最小権限アクセスの実装まで多岐にわたります。

ただし、最も重要な推奨事項の 1 つは、 セグメンテーションを実装して、ランサムウェアが ネットワーク上を自由に移動する能力を制限することです。

セグメントネットワーク ランサムウェアの拡散を防ぐため。ネットワークセグメンテーションは、さまざまなサブネットワーク間のトラフィックフローとアクセスを制御し、敵対者のラテラルムーブメントを制限することで、ランサムウェアの拡散を防ぐのに役立ちます。」

ここで、Illumio が本領を発揮します。実際、当社は大手アナリスト企業の ForresterGartner が推奨する ゼロ トラスト セグメンテーション アプローチを採用し、従来のネットワーク セグメンテーションを超えています。

イルミオは、シンプルな3ステップのアプローチで ランサムウェアを阻止 します。

  1. リスクベースの可視性の獲得: イルミオは、すべてのワークロード、データセンター、パブリッククラウドにわたる通信と依存関係を自動的にマッピングします。
  2. リスクの評価:イルミオは、最もリスクの高い企業アプリケーションとシステムを強調しています。
  3. ランサムウェアを含む:この洞察を使用して、ラテラルムーブメントを促進するために使用される可能性のある SMBなどの危険な経路やポートをロックダウンします。

これらの手順に従うことで、Illumio は、BlackMatter などのランサムウェアの脅威アクターが重大な損害を引き起こす前に、重要な資産を隔離しながらその脅威を積極的に制限できます。ポリシー生成は自動化されたプロセスによって簡素化され、あらゆるタイプのワークロード (ベアメタル、仮想マシン、コンテナ) に最適化されたセグメンテーション ポリシーが提案されます。侵入が発生した場合に特定のネットワーク通信をブロックするために作動する緊急ロックダウン スイッチを事前に構築することもできます。

今日、100%侵害防止であると自信を持って主張できる組織はありません。しかし、イルミオを使用すると、脅威アクターが取り返しのつかない損害を引き起こす前に阻止するテクノロジーがあります。

詳細については、今すぐ お問い合わせください

関連トピック

ランサムウェアの拡散阻止

関連記事

AIを活用したCDRとセグメンテーションで侵害封じ込めを簡素化
ランサムウェアの拡散阻止

AIを活用したCDRとセグメンテーションで侵害封じ込めを簡素化

AI を活用した CDR とセグメンテーションが、インテリジェントな検出とリアルタイムの封じ込めを組み合わせて侵害防御をより迅速かつシンプルにし、ハイブリッド クラウド セキュリティを変革する方法を学びます。

詳細はこちら
イルミオでRDPベースのランサムウェア攻撃を阻止する方法
ランサムウェアの拡散阻止

イルミオでRDPベースのランサムウェア攻撃を阻止する方法

マイクロセグメンテーション、MFA、ポリシー適用を使用してRDPエクスポージャーをマッピング、評価、ブロックし、RDPを介して拡散する前にランサムウェアを阻止する方法をご覧ください。

詳細はこちら
名前:WRECK Takeaways — マイクロセグメンテーションが可視性と封じ込めにどのように役立つか
ランサムウェアの拡散阻止

名前:WRECK Takeaways — マイクロセグメンテーションが可視性と封じ込めにどのように役立つか

マイクロセグメンテーションが可視性と封じ込めにどのように役立つか、WRECKの脆弱性、リモートコード実行、サービス拒否を防ぐ方法。

詳細はこちら
IllumioでLockBitランサムウェア攻撃を封じ込める方法
ランサムウェアの拡散阻止

IllumioでLockBitランサムウェア攻撃を封じ込める方法

LockBitランサムウェアがどのように動作し、2022年夏にIllumio Zero Trust SegmentationがLockBitランサムウェア攻撃をどのように封じ込めたかをご覧ください。

詳細はこちら
専門家のQ&A:なぜ企業は依然としてランサムウェアにお金を払うのか?
ランサムウェアの拡散阻止

専門家のQ&A:なぜ企業は依然としてランサムウェアにお金を払うのか?

評判、財務、セキュリティのリスクにもかかわらず、組織が身代金を支払う原因となる要因について、専門家の視点を取得します。

詳細はこちら
ランサムウェアから保護するための 4 つの基本原則
ランサムウェアの拡散阻止

ランサムウェアから保護するための 4 つの基本原則

これら 4 つの基本原則を遵守して実装することは、ランサムウェアから防御する方法に関して組織を保護するのに役立ちます。続きを読む。

詳細はこちら

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る