콘티 랜섬웨어 방어: CISA가 마이크로세그멘테이션을 긴급히 권장하는 이유

In 2021, the Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) issued a joint cybersecurity advisory surrounding the ongoing wave of Conti ransomware attacks — a ransomware-as-a-service (RaaS) model variant known to have been behind more than 400 attacks on U.S. and international organizations since its inception in 2020.

Conti is just the latest in the ongoing ransomware scourge. As we near the one-year anniversary of the SolarWinds breach, ransomware attacks continue to evolve and abound — on an unequivocal scale.

Now more than ever before, it’s imperative that organizations take the steps needed to shore up their cyber resiliency — not just to protect and defend their own businesses but also their customers and supply chains from the wave of ongoing ransomware attacks.

Conti 랜섬웨어란 무엇인가요?

According to the joint advisory from CISA and the FBI, “In typical Conti ransomware attacks, malicious cyber actors steal files, encrypt servers and workstations, and demand a ransom payment.”

이 권고문은 또한 콘티 개발자가 랜섬웨어 배포자에게 공격 성공으로 얻은 수익의 일부가 아닌 임금을 지불하는 경우가 많다고 지적했습니다. " 특정 공격의 성공 여부( ")와 관계없이 배포자에게 돈을 지급한다는 점에서 이 모델 자체는 더욱 경각심을 불러일으킵니다.

Earlier this month, SiliconANGLE reported that Conti’s “been linked to a range of attacks, including one targeting Ireland’s health service in May...Previous Conti victims include industrial computer manufacturer Advantech in November, VOIP hardware and software maker Sangoma Technologies in December and hospitals in Florida and Texas in February.”

실리콘앵글은 또한 콘티가 특히 코로나19 팬데믹이 지속되는 상황에서 중요한 분야인 의료 서비스 제공자를 표적으로 삼고 있다는 지난 5월 FBI의 경고의 대상이었다고 지적했습니다.

콘티로부터 보호

In order to secure systems against Conti ransomware, CISA and the FBI recommend the following precautions – Zero Trust and segmentation principles are chief among them:

• 멀티팩터 인증을 사용하여 외부 소스에서 네트워크에 원격으로 액세스하세요.
• Implement network segmentation and filter traffic. Implement and ensure robust network segmentation between networks and functions to reduce the spread of the ransomware. Filter network traffic to prohibit ingress and egress communications with known malicious IP addresses. Enable strong spam filters to prevent phishing emails from reaching end users.
  
  Organizations should also consider implementing a user training program to discourage users from visiting malicious websites or opening malicious attachments. IT teams should implement a URL blocklist and/or allowlist to prevent users from accessing malicious websites; with more advanced technology toolkits, this can be automated.
• 취약점을 검사하고 소프트웨어를 최신 상태로 유지하세요. 바이러스 백신 및 맬웨어 방지 프로그램이 최신 서명을 사용하여 네트워크 자산을 정기적으로 검사하도록 설정하세요. 또한 조직은 네트워크 자산의 소프트웨어와 운영 체제, 애플리케이션, 펌웨어를 적시에 업그레이드해야 합니다.
• 불필요한 애플리케이션을 제거하고 제어 기능을 적용하세요. 일상적인 업무에 필요하지 않다고 판단되는 애플리케이션은 모두 삭제하세요. 승인되지 않은 소프트웨어를 조사합니다.
• 엔드포인트 및 탐지 대응 도구를 구현하세요. 엔드포인트 및 탐지 대응 도구는 보안팀이 특정 사이버 보안 환경에 대한 가시성을 향상시켜 악의적인 사이버 행위자와 잠재적 위협을 조기에 식별하고 더 효과적으로 완화할 수 있는 것으로 알려져 있습니다.
• 사용자 계정을 보호합니다. 관리 사용자 계정을 정기적으로 감사하고 최소 권한(제로 트러스트) 및 업무 분리 원칙에 따라 액세스 제어를 구성하세요. 또한 조직은 정기적으로 로그를 감사하여 새 계정이 합법적인 사용자인지 확인해야 합니다.

더 많은 RaaS 모델과 랜섬웨어 변종이 등장함에 따라 조직은 잠재적인 위협 벡터나 취약점을 조기에 식별하고 최소화하는 것이 중요합니다. 위에서 설명한 권장 사항 중 오늘날 조직이 실행해야 할 중요한 모범 사례 중 하나는 세분화입니다.

일루미오 제로 트러스트 세그멘테이션의 지원 방법

Illumio stops ransomware in its tracks and, unlike legacy network segmentation, evolves with your organization by delivering:

• Simple and fast segmentation. With Illumio, you can segment applications, users and specific assets in minutes using automatic policy creation.
  
  In the case of Conti, the ransomware exploited server message block (SMB) and remote desktop protocol (RDP) to move laterally. With Illumio Core, you can write a simple policy that blocks both of these protocols across your estate, except where they’re absolutely necessary – quickly and effectively reducing risk exposure.
• 동적 환경에 따라 확장되는 정책. Illumio는 기존 인프라를 사용하여 정책을 시행하기 때문에 네트워크가 발전함에 따라 확장할 수 있습니다.
• 호스트 수준에서의 세분화. 기존 호스트 기반 방화벽을 사용하면 인프라를 건드리거나 케이블을 옮길 필요 없이 단일 클라우드 인스턴스에서 모든 세분화 정책을 관리할 수 있습니다. 

Learn more about how Illumio can dramatically reduce your risk by limiting the reach of a successful breach: Read the paper, How to Prevent Ransomware From Becoming a Cyber Disaster, and check out the blog post, 9 Reasons to Use Illumio to Fight Ransomware. 

For additional information on the Conti ransomware gang, visit the official advisory page.