Como interromper os ataques do Clop Ransomware com o Illumio
O ransomware a paisagem é um espaço complexo e volátil. As variantes vêm e vão, os desenvolvedores pegam emprestado e roubam uns dos outros e os afiliados adicionam suas próprias personalizações personalizadas. Isso pode dificultar saber com quem ou com o que exatamente você está lidando quando ocorre uma violação. Também pode fazer com que dois ataques separados nominalmente do mesmo coletivo sejam potencialmente muito diferentes um do outro.
Apesar de toda essa complexidade e mudança, uma permanente nos últimos anos foi o grupo Clop. Ela comprometeu organizações tão diversas quanto escritórios de advocacia globais e fabricantes de aeronaves, acumulando centenas de milhões de dólares no processo.
Felizmente para os clientes da Illumio, podemos impedir que os ataques do Clop se transformem em desastres cibernéticos. Tudo se resume a compreensão como os ativos essenciais da rede se comunicam entre si e, em seguida, bloqueiam conexões não essenciais em grande escala.
O que é Clop?
O Clop é um dos grupos de ransomware mais ricos do mercado. Os relatórios dizem lavadores de dinheiro ligados à empresa tentaram esconder pelo menos 500 milhões de dólares. O valor real das receitas de ransomware certamente será muito maior. O malware apareceu pela primeira vez em 2019, uma variante de uma cepa anterior conhecida como CryptoMix. Nos anos seguintes, foi criada para trabalhar em setores tão diversos como transporte e logística, educação, manufatura, saúde e varejo.
O Clop foi associado a vários vetores de acesso inicial no passado, desde ataques diretos de phishing até dia zero explorações direcionadas a um único fornecedor de software de transferência de arquivos. A última técnica, altamente incomum no espaço de ransomware, rendeu a notoriedade global do grupo e muitas vítimas corporativas.
Um fio condutor comum que liga a maioria desses ataques é o da “dupla extorsão”. Agora comum entre os atores de ransomware, ele foi popularizado por grupos como o Clop. Nesse ataque, as organizações vítimas não apenas encontram seus dados e sistemas mais confidenciais criptografados, mas também podem sofrer um sério problema violação de dados. Isso efetivamente aumenta os riscos das vítimas corporativas. Você pode ter backups dos dados criptografados. Mas se os bandidos roubaram dados confidenciais de IP ou de clientes altamente regulamentados, isso mudará significativamente qualquer cálculo de risco.
Como funciona o Clop?
Embora haja muitas variações nos ataques de Clop, um padrão específico é instrutivo no modus operandi de afiliados. Ele explora configurações incorretas Active Directory sistemas (AD) para comprometer essas contas do AD com privilégios de domínio. Isso fornece aos atacantes as chaves do reino, permitindo que eles:
- Executar comandos remotos como scripts WMI e PowerShell no endpoint comprometido e em qualquer outro sistema conectado a ele via AD.
- Mantenha a persistência em um sistema comprometido, criando novas contas ou criando/modificando processos do sistema. Os agentes de ameaças também podem executar comandos ou inicializar scripts automaticamente na inicialização ou no login — em qualquer ativo em rede conectado via AD.
Com essas ferramentas em seu arsenal, os atacantes do Clop podem se mover com bastante facilidade pelas organizações comprometidas, implantando o ransomware e encontrar e extrair dados confidenciais. Eles devem se conectar à Internet pública para fazer isso, a fim de baixar ferramentas adicionais e fazer o upload dos dados roubados.
Como parar o Clop
Nesse cenário, neutralizar a ameaça do Clop exige que as equipes de segurança obtenham uma visão granular de como a configuração do AD funciona. Ao remover o acesso ao privilégio de domínio de contas que não precisam dele — ou seja, aplicando os princípios de “privilégio mínimo” — eles podem reduzir o superfície de ataque significativamente. Em seguida, restrinja os caminhos comuns que esse ataque pode tentar explorar, incluindo WinRM, NetBIOS e PEQUENO E PEQUENO.
Como a Illumio pode ajudar
A Illumio ajuda alguns dos maiores do mundo organizações para impedir ataques do Clop e de qualquer outro grupo de ransomware. Fazemos isso fornecendo gerenciamento de políticas simplificado e escalável para ajudar a aplicar Segmentação Zero Trust.
Com o Illumio, você pode entender em tempo real como os ativos de rede se comunicam entre si e com a Internet pública. Depois, você pode tomar decisões estratégicas sobre quais caminhos manter abertos e quais bloquear — reduzindo a superfície de ataque e deixando os bandidos sem boas opções.
Resumindo, o Illumio pode ajudar a impedir o ransomware Clop ao:
- Mapeando todas as instâncias e conexões do Active Directory
- Identificação de conexões essenciais de entrada/saída
- Implantação rápida de políticas para restringir comunicações não essenciais em grande escala e monitorar quaisquer caminhos que tenham sido deixados abertos
Como a maioria dos grupos, Clop é resiliente. Poucos dias depois de uma grande repressão policial levar às prisões, foi vítimas de apoio e comprometimento. A única maneira de lidar com esse tipo de persistência é com sofisticação Confiança zero segmentação da Illumio.
Para ler mais sobre como o Illumio ajuda a conter ataques de ransomware, entre em contato conosco hoje.