/
ランサムウェアの封じ込め

ReVilを阻止しよう:Illumioがいかにして最も多作なランサムウェアグループの1つを混乱させることができるか

ランサムウェアグループは現れたり消えたりします。しかし、REvilという知名度を持つ人はほとんどいません。Sodinokibiとしても知られるこのグループとその関連会社は、過去12~18か月間に発生した最も大胆な侵害の責任者でした。これらには、への襲撃が含まれます 有名人の法律事務所 そして食肉加工の巨人は 攻撃者に1,100万ドルを稼いだ。その他の注目すべきキャンペーンには、 ITソフトウェア企業Kaseyaに対する高度な攻撃 そして台湾のメーカーとアップルのクライアントの妥協 クアンタコンピュータ。

後者の2つは、それぞれ7,000万ドルと5,000万ドルという法外な身代金要求で有名です。しかし、その目的をさらに進めるために、方法は異なりますが、グローバル・サプライチェーンを悪用したこともその理由です。

そして邪悪な 最近中断されました 逮捕と制裁によって、この団体は と報告されています 継続的な運用。幸いなことに、リスクの高いネットワーク接続をマッピング、監視、ブロックするイルミオがあれば、REvilの脅威、そしてグループが最終的に消滅した場合に続くあらゆる脅威を軽減できます。

サプライチェーン攻撃はなぜ危険なのか?

2021年4月のクアンタ・コンピューターへの襲撃は賢明でした。Appleの主要な受託製造パートナーとして、同社は非常に機密性の高い設計図や製品IPにアクセスしています。また、ReVilの計算によると、同社はクパチーノの巨大テクノロジー企業ほど保護されていない可能性がある。Quantaが支払いを拒否すると、グループはAppleのところに行って身代金を要求しました。さもないと、盗まれた文書を漏らしたり売ったりすることになります。彼らが成功したかどうかはわかりませんが、襲撃に関するすべてのデータがあります。 その後削除されました 報道によるとREvilのリークサイトから

この事件は私たちに何を教えてくれますか?まず、あなたの組織は ランサムウェア/ReVilターゲットは、価値の高いパートナーと取引を行う場合です。第二に、安全性が最も低いサプライヤーほど安全ではありません。

eVilはどのように機能しますか?

Quantaの攻撃自体には、いくつかのユニークな要素が含まれていました。しかし、外部に面した脆弱なソフトウェアやサービスを悪用するという広範なパターンは、これまで数え切れないほどのキャンペーンで使用されてきました。

今回のケースでは、ReVilはOracle WebLogicソフトウェアの脆弱性を標的にしました。これにより、脅威アクターは、ユーザーの操作なしに、侵害されたサーバーにマルウェアのダウンロードと実行を強制できるようになりました。主な段階は次の 2 つでした。

  1. 攻撃者は、パッチが適用されていないWebLogicサーバーにHTTP接続し、Sodinokibiランサムウェアの亜種をダウンロードするように強制しました。攻撃者は PowerShell コマンドを使用して悪意のある IP アドレスから「radm.exe」という名前のファイルをダウンロードし、サーバーにファイルをローカルに保存して実行するように強制しました。
  2. 攻撃者は、ユーザーのディレクトリ内のデータを暗号化し、Windowsが自動的に作成する暗号化されたデータの「シャドウコピー」を削除することでデータ復旧を妨害しようとしました。

どうすれば悪魔を止められますか?

リスクの高いエンドポイントへの迅速なパッチ適用などの適切なサイバー衛生は、組織の攻撃対象領域を減らすのに役立ちます。しかし、それ以外にも、ネットワークレベルでより包括的な対策を講じることができます。

組織は、信頼できるチャネルやサードパーティのソフトウェアでさえ、マルウェアやランサムウェアの経路になる可能性があることを理解する必要があります。このリスクを軽減するには、 市販のソリューションをセグメント化 環境の他の部分、特にエンドポイントの検出と対応(EDR)や拡張検出と対応(XDR)などのセキュリティツールからのものです。

企業も考慮すべき 重要でないアウトバウンド接続の識別と制限。つまり、ポート80と443を含め、許可された宛先IPへの通信以外のすべてをブロックすることになります。これにより、攻撃を進行させるための追加ツールをダウンロードしようと、C&C (Command Control) サーバーに「コールホーム」を送ろうとする脅威アクターの妨害が阻止されます。また、組織外の管理下にあるサーバーにデータを流出させようとする試みも阻止できます。

イルミオがどのように役立つか

イルミオのアドバンス ゼロトラストセグメンテーションテクノロジー 重要資産を保護し、ランサムウェアを隔離するための、簡単でスケーラブルなポリシー管理を実現します。Illumioは、セキュリティチームがコミュニケーションフローとリスクの高い経路を可視化できるようにします。次に、ワークロードレベルまでの完全なセグメンテーション制御を実施して、攻撃対象領域を大幅に縮小し、ランサムウェアの影響を最小限に抑えます。

Illumioは3つの簡単なステップで組織をREvilのようなランサムウェアから守ることができます。

  1. 重要なアウトバウンドコミュニケーションと重要でないアウトバウンドコミュニケーションをすべてマッピング
  2. 大規模な通信を制限するポリシーを迅速に導入
  3. クローズできないアウトバウンド接続をすべて監視する

ランサムウェアに対するレジリエンスの構築に関するその他のベストプラクティスガイダンスについては、以下をご覧ください。

関連トピック

アイテムが見つかりません。

関連記事

ランサムウェアの拡散を阻止する 3 つのステップ
ランサムウェアの封じ込め

ランサムウェアの拡散を阻止する 3 つのステップ

Discover the steps to stop ransomware from spreading by limiting connections, expanding visibility, and improving response time.

専門家によるQ&A: なぜ企業は依然としてランサムウェアにお金を払っているのか?
ランサムウェアの封じ込め

専門家によるQ&A: なぜ企業は依然としてランサムウェアにお金を払っているのか?

組織が風評や財務、セキュリティ上のリスクを抱えているにもかかわらず、身代金を支払う原因となる要因について、専門家の視点をご紹介します。

名前:WRECK Takeaways — マイクロセグメンテーションが可視性と抑制にどのように役立つか
ランサムウェアの封じ込め

名前:WRECK Takeaways — マイクロセグメンテーションが可視性と抑制にどのように役立つか

マイクロセグメンテーションが、WRECKの脆弱性、リモートコード実行、サービス拒否を防ぐための可視性と封じ込めにどのように役立つのか。

イルミオでロックビットランサムウェアを封じ込める方法
ランサムウェアの封じ込め

イルミオでロックビットランサムウェアを封じ込める方法

イルミオゼロトラストセグメンテーションに含まれるLockBitランサムウェア攻撃の実際のユースケースに関する洞察。

ランサムウェアの拡散を阻止する 3 つのステップ
ランサムウェアの封じ込め

ランサムウェアの拡散を阻止する 3 つのステップ

Discover the steps to stop ransomware from spreading by limiting connections, expanding visibility, and improving response time.

ランサムウェアに対抗するにはファイアウォールだけでは不十分な理由
ランサムウェアの封じ込め

ランサムウェアに対抗するにはファイアウォールだけでは不十分な理由

Discover the reasons why firewalls are too slow to keep up with threats and why microsegmentation is key for ransomware containment.

Assume Breach.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?