ブログ
/
ランサムウェアの封じ込め

ReVilを阻止しよう:Illumioがいかにして最も多作なランサムウェアグループの1つを混乱させることができるか

ロン・アイザクソン
シニアディレクター、フィールドCTO
February 11, 2022
23 最小読取り

ランサムウェアグループは現れたり消えたりします。しかし、REvilという知名度を持つ人はほとんどいません。Sodinokibiとしても知られるこのグループとその関連会社は、過去12~18か月間に発生した最も大胆な侵害の責任者でした。これらには、への襲撃が含まれます 有名人の法律事務所 そして食肉加工の巨人は 攻撃者に1,100万ドルを稼いだ。その他の注目すべきキャンペーンには、 ITソフトウェア企業Kaseyaに対する高度な攻撃 そして台湾のメーカーとアップルのクライアントの妥協 クアンタコンピュータ。

後者の2つは、それぞれ7,000万ドルと5,000万ドルという法外な身代金要求で有名です。しかし、その目的をさらに進めるために、方法は異なりますが、グローバル・サプライチェーンを悪用したこともその理由です。

そして邪悪な 最近中断されました 逮捕と制裁によって、この団体は と報告されています 継続的な運用。幸いなことに、リスクの高いネットワーク接続をマッピング、監視、ブロックするイルミオがあれば、REvilの脅威、そしてグループが最終的に消滅した場合に続くあらゆる脅威を軽減できます。

サプライチェーン攻撃はなぜ危険なのか?

2021年4月のクアンタ・コンピューターへの襲撃は賢明でした。Appleの主要な受託製造パートナーとして、同社は非常に機密性の高い設計図や製品IPにアクセスしています。また、ReVilの計算によると、同社はクパチーノの巨大テクノロジー企業ほど保護されていない可能性がある。Quantaが支払いを拒否すると、グループはAppleのところに行って身代金を要求しました。さもないと、盗まれた文書を漏らしたり売ったりすることになります。彼らが成功したかどうかはわかりませんが、襲撃に関するすべてのデータがあります。 その後削除されました 報道によるとREvilのリークサイトから

この事件は私たちに何を教えてくれますか?まず、あなたの組織は ランサムウェア/ReVilターゲットは、価値の高いパートナーと取引を行う場合です。第二に、安全性が最も低いサプライヤーほど安全ではありません。

eVilはどのように機能しますか?

Quantaの攻撃自体には、いくつかのユニークな要素が含まれていました。しかし、外部に面した脆弱なソフトウェアやサービスを悪用するという広範なパターンは、これまで数え切れないほどのキャンペーンで使用されてきました。

今回のケースでは、ReVilはOracle WebLogicソフトウェアの脆弱性を標的にしました。これにより、脅威アクターは、ユーザーの操作なしに、侵害されたサーバーにマルウェアのダウンロードと実行を強制できるようになりました。主な段階は次の 2 つでした。

  1. 攻撃者は、パッチが適用されていないWebLogicサーバーにHTTP接続し、Sodinokibiランサムウェアの亜種をダウンロードするように強制しました。攻撃者は PowerShell コマンドを使用して悪意のある IP アドレスから「radm.exe」という名前のファイルをダウンロードし、サーバーにファイルをローカルに保存して実行するように強制しました。
  2. 攻撃者は、ユーザーのディレクトリ内のデータを暗号化し、Windowsが自動的に作成する暗号化されたデータの「シャドウコピー」を削除することでデータ復旧を妨害しようとしました。

どうすれば悪魔を止められますか?

リスクの高いエンドポイントへの迅速なパッチ適用などの適切なサイバー衛生は、組織の攻撃対象領域を減らすのに役立ちます。しかし、それ以外にも、ネットワークレベルでより包括的な対策を講じることができます。

組織は、信頼できるチャネルやサードパーティのソフトウェアでさえ、マルウェアやランサムウェアの経路になる可能性があることを理解する必要があります。このリスクを軽減するには、 市販のソリューションをセグメント化 環境の他の部分、特にエンドポイントの検出と対応(EDR)や拡張検出と対応(XDR)などのセキュリティツールからのものです。

企業も考慮すべき 重要でないアウトバウンド接続の識別と制限。つまり、ポート80と443を含め、許可された宛先IPへの通信以外のすべてをブロックすることになります。これにより、攻撃を進行させるための追加ツールをダウンロードしようと、C&C (Command Control) サーバーに「コールホーム」を送ろうとする脅威アクターの妨害が阻止されます。また、組織外の管理下にあるサーバーにデータを流出させようとする試みも阻止できます。

イルミオがどのように役立つか

イルミオのアドバンス ゼロトラストセグメンテーションテクノロジー 重要資産を保護し、ランサムウェアを隔離するための、簡単でスケーラブルなポリシー管理を実現します。Illumioは、セキュリティチームがコミュニケーションフローとリスクの高い経路を可視化できるようにします。次に、ワークロードレベルまでの完全なセグメンテーション制御を実施して、攻撃対象領域を大幅に縮小し、ランサムウェアの影響を最小限に抑えます。

Illumioは3つの簡単なステップで組織をREvilのようなランサムウェアから守ることができます。

  1. 重要なアウトバウンドコミュニケーションと重要でないアウトバウンドコミュニケーションをすべてマッピング
  2. 大規模な通信を制限するポリシーを迅速に導入
  3. クローズできないアウトバウンド接続をすべて監視する

ランサムウェアに対するレジリエンスの構築に関するその他のベストプラクティスガイダンスについては、以下をご覧ください。

関連トピック

アイテムが見つかりません。

関連記事

ランサムウェアに再び焦点を当てる:ランサムウェア対応ネットワークを構築するための3つの真実
ランサムウェアの封じ込め

ランサムウェアに再び焦点を当てる:ランサムウェア対応ネットワークを構築するための3つの真実

ランサムウェア攻撃の拡散から安全なネットワークを構築するための洞察を得ましょう。

もっと読む
.Net アセンブリを使用したランサムウェア手法の解明:多段階攻撃
ランサムウェアの封じ込め

.Net アセンブリを使用したランサムウェア手法の解明:多段階攻撃

Learn the fundamentals of a multi-stage payload attack using a set of staged payloads.

もっと読む
ランサムウェア削減101: エンドポイント間のラテラルムーブメント
ランサムウェアの封じ込め

ランサムウェア削減101: エンドポイント間のラテラルムーブメント

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく