BlackMatter Ransomware: reduza os riscos com a segmentação Zero Trust da Illumio

As diversas agências governamentais dos EUA voltadas para a segurança têm se manifestado com crescente frequência ultimamente. Essa é uma boa notícia para organizações que enfrentam um cenário de ransomware com cerca de 68 variantes distintas. O alerta mais recente da Agência de Segurança Cibernética e de Infraestrutura (CISA), do FBI e da NSA adverte sobre um grupo relativamente novo de ransomware como serviço (RaaS) conhecido como BlackMatter.

O que é BlackMatter?

O grupo BlackMatter RaaS entrou em cena pela primeira vez em julho, com rumores de que ele pode ter ligações com a infame operação DarkSide, que se aposentou alguns meses antes. A DarkSide foi responsável pelo ataque ao Colonial Pipeline, que fez com que o principal oleoduto de combustível da Costa Leste fosse fechado por vários dias em maio.

De acordo com o alerta, a BlackMatter já teve como alvo “vários” fornecedores de infraestrutura crítica dos EUA, apesar de alegar evitar serviços de saúde, governo, petróleo e gás e outros setores. Um desses fornecedores, a New Cooperative, recebeu um resgate de 5,9 milhões de dólares no mês passado, embora as demandas de pagamento da BlackMatter possam chegar a 15 milhões de dólares, afirma a CISA.

Para organizações de vítimas, há uma série de riscos comerciais indiretos em potencial, incluindo:

• Custos de remediação, investigação e limpeza
• Multas regulatórias
• Danos à reputação e desgaste do cliente
• Custos legais, especialmente se dados pessoais vazarem
• Impacto na produtividade e interrupções operacionais
• Vendas perdidas

Como o BlackMatter opera?

O alerta da CISA tem muito para as equipes de segurança digerirem, com base na análise sandbox de uma amostra específica do BlackMatter. É importante ressaltar que, como uma operação de RaaS, vários grupos podem usar o mesmo ransomware de maneiras ligeiramente diferentes para atacar seus alvos.

Dito isso, as táticas, técnicas e procedimentos (TTPs) descritos pelo alerta podem ser resumidos como:

Persistência em redes de vítimas — usando contas de teste com ferramentas legítimas de monitoramento remoto e desktop

Acesso a credenciais — coletando credenciais da memória do Serviço de Subsistema de Autoridade de Segurança Local (LSASS) usando a ferramenta Process Monitor (procmon) da Microsoft

Descoberta de todos os hosts do Active Directory — usando credenciais previamente comprometidas incorporadas no LDAP (Lightweight Directory Access Protocol) e no protocolo SMB (Server Message Block)

Enumeração de todos os processos em execução — usando NtQuerySystemInformation

Enumeração de todos os serviços em execução na rede — usando EnumServicesStatusExW

Movimentação lateral — usando a função “srvsvc.NetShareEnumAll” Microsoft Remote Procedure Call (MSRPC) para listar todos os compartilhamentos descobertos e, em seguida, SMB para conectar-se a eles

Exfiltração de dados — para roubar dados para dupla extorsão

Criptografia — criptografia remota de compartilhamentos via protocolo SMB. BlackMatter também pode apagar sistemas de backup.

Como a segmentação Zero Trust da Illumio pode ajudar

O alerta da CISA lista várias etapas de melhores práticas que as organizações podem adotar para mitigar o impacto de um ataque. Elas abrangem desde o gerenciamento robusto de senhas e a autenticação multifatorial até o gerenciamento de patches e a implementação de acesso com privilégios mínimos aos recursos da rede.

No entanto, uma das recomendações mais importantes é implementar a segmentação para restringir a capacidade do ransomware de se mover livremente pela rede:

”Redes de segmentos para evitar a propagação do ransomware. A segmentação da rede pode ajudar a evitar a propagação do ransomware ao controlar os fluxos de tráfego entre e o acesso a várias sub-redes e ao restringir o movimento lateral do adversário.”

É aqui que o Illumio mostra todo o seu potencial. Na verdade, vamos além da segmentação de rede tradicional com uma abordagem de segmentação Zero Trust recomendada pelas principais empresas de análise , Forrester e Gartner.

A Illumio bloqueia o ransomware com uma abordagem simples de três etapas:

1. Obtenha visibilidade baseada em riscos: o Illumio mapeia automaticamente as comunicações e dependências em todas as cargas de trabalho, data centers e nuvens públicas.
2. Avalie o risco: a Illumio destaca os aplicativos e sistemas corporativos com maior risco.
3. Contenha ransomware: usamos esse insight para bloquear quaisquer vias e portas arriscadas, como SMB, que possam ser usadas para facilitar o movimento lateral.

Seguindo essas etapas, a Illumio pode restringir proativamente os agentes de ameaças de ransomware, como o BlackMatter, antes que eles possam causar danos graves e, ao mesmo tempo, isolar ativos críticos. A geração de políticas é simplificada por meio de processos automatizados que sugerem políticas de segmentação otimizadas para qualquer tipo de carga de trabalho (bare-metal, máquinas virtuais, contêineres). Podemos até mesmo pré-construir um interruptor de bloqueio de emergência para ativar em caso de violação e bloquear comunicações de rede específicas.

Atualmente, nenhuma organização pode afirmar com segurança que está 100% à prova de violações. Mas com o Illumio, você tem a tecnologia para deter os agentes de ameaças antes que eles possam causar danos irreparáveis.

Para saber mais, entre em contato conosco hoje mesmo.