Illumio로 Clop 랜섬웨어 공격을 막는 방법
더 랜섬웨어 풍경은 복잡하고 불안정한 공간입니다.변형은 왔다가 사라지고, 개발자들은 서로 빌리고 훔치고, 계열사는 자체 맞춤형 커스터마이징을 추가합니다.이로 인해 보안 침해가 발생했을 때 정확히 누구와 무엇을 다루고 있는지 파악하기 어려울 수 있습니다.또한 명목상으로는 같은 집단에서 발생한 두 개의 개별 공격이 잠재적으로 서로 크게 다를 수 있습니다.
이 모든 복잡성과 변화에도 불구하고, 최근 몇 년간 지속된 것은 Clop 그룹이었습니다.이로 인해 글로벌 로펌과 항공기 제조업체 등 다양한 조직이 피해를 입었고 그 과정에서 수억 달러의 손실이 발생했습니다.
다행스럽게도 Illumio 고객은 Clop 공격이 사이버 재해로 이어지는 것을 막을 수 있습니다.모든 것이 요약하자면 이해 주요 네트워크 자산이 서로 통신한 후 불필요한 연결을 대규모로 차단하는 방법
클롭이 뭐지?
Clop은 현존하는 가장 부유한 랜섬웨어 그룹 중 하나입니다. 보고서에 따르면 이 의상과 관련된 돈세탁업자들은 최소 5억 달러를 숨기려고 했습니다.랜섬웨어로 인한 실제 수익은 확실히 훨씬 더 높을 것입니다.이 멀웨어는 크립토믹스 (CryptoMix) 로 알려진 이전 변종의 변종으로 2019년에 처음 등장했습니다.이후 몇 년 동안 운송 및 물류, 교육, 제조, 의료 및 소매와 같은 다양한 부문을 대상으로 운영될 예정이었습니다.
Clop은 과거에 직접적인 피싱 공격부터 다양한 초기 액세스 벡터와 연관되어 있었습니다. 제로데이 단일 파일 전송 소프트웨어 공급자를 대상으로 악용합니다.랜섬웨어 분야에서는 매우 흔치 않은 후자의 기법이 인기를 끌었습니다. 그룹 글로벌 악명 그리고 많은 기업 피해자들.
이러한 공격의 대부분을 연결하는 공통점 중 하나는 “이중 강탈”입니다.지금은 랜섬웨어 공격자들 사이에서 흔하게 볼 수 있는 이 공격은 Clop과 같은 그룹에 의해 널리 퍼졌습니다.이러한 공격에서 피해 조직은 가장 민감한 데이터와 시스템이 암호화될 뿐만 아니라 심각한 피해를 입을 수도 있습니다. 데이터 침해.이는 기업 피해자들의 이익을 효과적으로 높여줍니다.암호화된 데이터에 대한 백업이 있을 수 있습니다.하지만 악의적인 공격자가 민감한 IP나 규제가 엄격한 고객 데이터를 훔쳤다면 위험 계산이 크게 달라질 것입니다.
Clop은 어떻게 작동하나요?
Clop 공격에는 다양한 변형이 있지만 한 가지 특별한 패턴이 도움이 됩니다. 운영 방식 계열사.잘못 구성된 악용입니다. 액티브 디렉터리 도메인 권한으로 해당 AD 계정을 손상시키는 (AD) 시스템이를 통해 공격자는 왕국 키를 얻을 수 있어 다음과 같은 작업을 수행할 수 있습니다.
- 원격 명령 실행 손상된 엔드포인트의 WMI 및 PowerShell 스크립트와 AD를 통해 해당 엔드포인트에 연결된 기타 시스템 등이 이에 해당합니다.
- 지속성 유지 손상된 시스템에서 새 계정을 만들거나 시스템 프로세스를 생성/수정합니다.또한 위협 행위자는 AD를 통해 연결된 모든 네트워크 자산에서 부팅 또는 로그온 시 자동으로 명령을 실행하거나 스크립트를 초기화할 수 있습니다.
이러한 도구를 사용하면 Clop 공격자는 취약한 조직을 쉽게 통과하여 배포할 수 있습니다. 랜섬웨어 민감한 데이터를 찾아서 유출합니다.추가 도구를 다운로드하고 도난당한 데이터를 업로드하려면 공용 인터넷에 연결해야 합니다.
클롭을 멈추는 방법
이 시나리오에서 Clop 위협을 무력화하려면 보안 팀이 AD 설정의 작동 방식에 대한 세밀한 통찰력을 확보해야 합니다.도메인 권한 액세스가 필요하지 않은 계정에서 도메인 권한 액세스를 제거함으로써 (예: “최소 권한” 원칙을 적용하면) 위험을 줄일 수 있습니다. 공격 표면 크게.다음으로 이러한 공격이 악용할 수 있는 일반적인 경로를 제한합니다. 여기에는 다음이 포함됩니다. WinRM, NetBIOS 과 중소 기업.
일루미오가 도와줄 수 있는 방법
Illumio는 세계 최대 규모의 기업을 지원합니다 조직 Clop 및 기타 랜섬웨어 그룹의 공격을 차단합니다.이를 위해 간소하고 확장 가능한 정책 관리를 제공하여 시행에 도움을 줍니다. 제로 트러스트 세그멘테이션.
Illumio를 사용하면 네트워크 자산이 서로 통신하고 공용 인터넷으로 전송되는 방식을 실시간으로 이해할 수 있습니다.그러면 어떤 경로를 계속 열어 두고 어떤 경로를 차단할지 전략적인 결정을 내릴 수 있습니다. 그러면 공격 대상이 줄어들고 악의적인 공격자는 좋은 선택지가 없게 됩니다.
간단히 말해서 Illumio는 다음과 같은 방법으로 Clop 랜섬웨어를 차단할 수 있습니다.
- 모든 액티브 디렉터리 인스턴스 및 연결 매핑
- 필수 인바운드/아웃바운드 연결 식별
- 대규모로 필수적이지 않은 통신을 제한하고 열려 있는 모든 경로를 모니터링하는 정책을 신속하게 배포
대부분의 그룹과 마찬가지로 Clop도 탄력적입니다.대대적인 법 집행 단속이 검거로 이어진 지 며칠 만에 체포되었습니다. 피해자 백업 및 보안 침해.이런 종류의 지속성을 극복하는 유일한 방법은 정교한 기술을 사용하는 것입니다. 제로 트러스트 일루미오의 세그멘테이션.
Illumio가 랜섬웨어 공격을 억제하는 데 어떻게 도움이 되는지 자세히 알아보려면 문의하기 오늘.