ブログ
/
ランサムウェアの封じ込め

Hive ランサムウェア:攻撃を制限して組織を保護する方法

ラグー・ナンダクマラ
インダストリー・ソリューションズ・マーケティング担当シニア・ディレクター
September 29, 2021
23 最小読取り

Hiveランサムウェアグループは2021年半ばから活動しており、攻撃を通じて悪評を博しています メモリアル・ヘルス・システム。Hiveのこれまでで最も顕著な事件として、この攻撃によりメモリアルのオンラインプラットフォーム全体が停止し、組織は救急患者をネットワーク外の施設にリダイレクトせざるを得なくなりました。今年だけでも 3 回目です。 ランサムウェア 民間人に直接影響を与えた攻撃 — その後に続く コロニアルパイプライン とJBSフーズ。

ハイブとそれほど洗練されていないHiveとの違い ランサムウェア 「スプレーして祈る」アプローチ(つまり、データ侵害にはほとんど関心がなく、できるだけ多くのシステムを最速でロックアウトする)を一般的に採用している攻撃者はいますか?

Hive ランサムウェアグループは、ターゲットの重要なデータをロックアップする前に盗み出し、その両方を身代金のコストを引き上げる手段として、攻撃者の間で勢いを増している「二重強要」手法を利用しています。

攻撃者は業務の中断と貴重なデータへのアクセスの両方に重点を置いているため、より一般的な混乱に焦点を当てたランサムウェア攻撃を超えるレベルの相互作用と持続性が必要です。これはおそらく、どのデータが盗み出されるほど価値のあるものかを判断するのに、さらに時間と労力が必要になったためと考えられます。

Hive ランサムウェアの仕組み

Hive は、さまざまな戦術や手法を使用して攻撃を実行します。

1。攻撃は、被害者の環境にアクセスできるユーザーに対するフィッシング攻撃、またはユーザーに無意識のうちにダウンロードさせる標的型メールによる攻撃から始まります。 悪質なペイロード

2。ペイロードは多くの場合、コバルトストライク(興味深いことに、ペンテスターが攻撃をシミュレートする際に使用するツールとしてスタートしました)ビーコンです。これらのビーコンは、パーシステンス、コールバック、ラテラルムーブメント、セカンダリペイロードの配信を容易にします。

3。次に続くのは 認証情報のダンピング ローカルホスト上で、アクティブディレクトリ環境をマッピングします。

4。 横方向の動き また、マイクロソフトのリモートデスクトッププロトコル(RDP)を使用することで、マルウェアのより広範な拡散が促進されます。ただし、Hive グループは攻撃を進行させる手段として脆弱性を悪用することも知られています。その好例が、ConnectWise Automateのエンドポイント管理の脆弱性を悪用することです(被害者のネットワークでツールが見つかった場合)。これは、ソフトウェアプロバイダーがもたらすサプライチェーンのリスクのさらなる兆候です。

5。セカンダリペイロードのダウンロードは、アウトバウンドコールバックチャネルが確立された後に Cobalt Strike ビーコンに送信される命令によって容易になります。このペイロードは、最終的に身代金要求を助長する悪質なアクションを実行します。

6。ペイロードは次のアクションを実行します。

  • 進行を妨げたり、アラートを生成したりする可能性のあるサービスの停止
  • 関連する可能性のあるファイルのすべての添付ストレージの列挙
  • 特定のファイルの漏洩
  • 同じファイルのローカル暗号化
  • 身代金メモの作成

イルミオがどのように役立つか

マルウェアやランサムウェアは通常、組織に最初に侵入した後、適切なユーザー認証情報へのアクセスを悪用して、ラテラルムーブメントを利用して環境内に拡散します。

Hive はリモートデスクトッププロトコル (RDP) を利用して横方向に移動します。RDP は、リモートアクセスとリモート管理の両方を容易にするためにアクセス可能なままになっていることが多く、その結果、初期のランサムウェア攻撃ベクトルとして人気が高まっています。

このため、組織がHiveランサムウェアに対する防御を強化するために講じることができる対策がいくつかあります。イルミオコア:

  • モニター: Illumio エージェントをすべてのエンドポイントにデプロイし、トラフィックフローを監視します。これにより、 すべてのフローを可視化 エンドポイントとの間で送受信され、セキュリティオペレーションセンター (SOC) が、通常の動作パターン外の RDP 接続や、既知の不正攻撃者 (Hive Command & Control インフラストラクチャなど) への発信接続を識別するために使用できます。
  • 露出制限: ワークロード間のアクセスがオープンになればなるほど、ランサムウェアの拡散は速くなります。ユビキタスな RDP は必須ではないとわかっているので、活用しましょう 執行境界線 エンドポイント間の RDP をデフォルトでブロックします。例外ルールを作成して、管理ホストやリモートアクセスゲートウェイからのアクセスが引き続き許可されるようにすることができます。これにより、ランサムウェアの拡散速度が制限されるはずです。
  • 組織は、Illumio Coreを活用することで、この制御をさらに強化できます。 アダプティブ・ユーザー・セグメンテーション 機能により、許可された Active Directory グループに関連付けられているユーザーのみが専用ジャンプホストから RDP を実行できるようになります。
  • C2コールバックチャネルの有効性を制限するには、同様の境界概念を実装して、Hiveに関連するパブリックIPまたはFQDNへのアクセスを拒否し、これらを定期的に更新してください。
  • 含む: SOCが感染している可能性のあるワークロードを特定したら、レスポンスプレイブックを実行してターゲットに隔離ワークロードを実装し、許可された調査マシンとフォレンジックツールからのみアクセスできるようにすることができます。

ランサムウェアから組織を守ることは困難です。しかし、Illumio Core ではランサムウェアの被害を簡単に阻止できるため、侵害の影響を大幅に軽減できます。

さらに詳しく知るには:

関連トピック

アイテムが見つかりません。

関連記事

製造業がランサムウェアからIIoTリソースを保護しなければならない理由
ランサムウェアの封じ込め

製造業がランサムウェアからIIoTリソースを保護しなければならない理由

製造部門におけるIIoTリソースのランサムウェアリスクに関する洞察を得てください。

もっと読む
S&P Global: 重要インフラのランサムウェアの脅威に対処する3つの方法
ランサムウェアの封じ込め

S&P Global: 重要インフラのランサムウェアの脅威に対処する3つの方法

イルミオのソリューションズ・マーケティング・ディレクターであるトレバー・ディアリングと、S&P Globalのグローバル・マーケット・インテリジェンスのチーフ・アナリスト、エリック・ハンセルマンがランサムウェアの懸念に対処します。

もっと読む
サイバーインシデントで何をすべきか:技術的対応
ランサムウェアの封じ込め

サイバーインシデントで何をすべきか:技術的対応

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく