BlackMatter Ransomware: Mitigue el riesgo con la segmentación de confianza cero de Illumio

Las diversas agencias centradas en la seguridad del gobierno de Estados Unidos se han vuelto cada vez más vocales en los últimos años. Esa es una buena noticia para las organizaciones que enfrentan un panorama de ransomware poblado por aproximadamente 68 variantes discretas. La última alerta de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) advierten sobre un relativamente nuevo ransomware como servicio (RaaS) grupo conocido como BlackMatter.

¿Qué es BlackMatter?

El grupo BlackMatter RaaS irrumpió por primera vez en la escena en julio, con rumores que giraban en torno a que puede tener links a la infame operación DarkSide que se retiró un par de meses antes. DarkSide fue responsable de Ataque del oleoducto colonial, lo que provocó que el principal gasoducto de la costa este se cerrara durante varios días en mayo.

Según la alerta, BlackMatter ya se ha dirigido a “múltiples” proveedores de infraestructura crítica de Estados Unidos, a pesar de afirmar evitar cuidado de la salud, gobierno, petróleo y gas y otras verticales. Uno de estos proveedores, New Cooperative, fue golpeado con un rescate de 5.9 millones de dólares el mes pasado, aunque las demandas de pago de BlackMatter pueden llegar a 15 millones de dólares, afirma CISA.

Para las organizaciones víctimas, existe una variedad de posibles riesgos comerciales en cadena, que incluyen:

• Costos de remediación, investigación y limpieza
• Multas reglamentarias
• Daños reputacionales y desgaste del cliente
• Costos legales, especialmente si se filtran datos personales
• Impacto en la productividad e interrupciones operacionales
• Ventas perdidas

¿Cómo funciona BlackMatter?

La alerta CISA tiene mucho que digerir los equipos de seguridad, basada en el análisis de sandbox de una muestra específica de BlackMatter. Es importante señalar que, como una operación RaaS, varios grupos podrían usar el mismo ransomware de maneras ligeramente diferentes para atacar a sus objetivos.

Dicho esto, las tácticas, técnicas y procedimientos (TTP) delineadas por la alerta pueden resumirse como:

Persistencia en las redes de víctimas — uso de cuentas de prueba con monitoreo remoto legítimo y herramientas de escritorio

Acceso a credenciales — recolección de credenciales de la memoria del Servicio de Subsistema de la Autoridad de Seguridad Local (LSASS) mediante la herramienta Procmon (Procmon) de Microsoft

Descubrimiento de todos los hosts de Active Directory — utilizando credenciales previamente comprometidas integradas en el protocolo LDAP (Protocolo ligero de acceso a directorios) y el protocolo de bloque de mensajes del servidor (SMB)

Enumeración de todos los procesos en ejecución — usando NTQuerySystemInformation

Enumeración de todos los servicios en ejecución en la red — usando EnumServicesStatusexW

Movimiento lateral : mediante la función “SRVSVC.NetShareEnumAll” Microsoft Remote Procedure Call (MSRPC) para enumerar todos los recursos compartidos descubiertos y, a continuación, SMB para conectarse a ellos

Exfiltración de datos — robar datos para doble extorsión

Cifrado : cifrado remoto de recursos compartidos mediante el protocolo SMB. BlackMatter también puede borrar los sistemas de backup

Cómo puede ayudar la segmentación de confianza cero de Illumio

La alerta CISA enumera múltiples pasos de mejores prácticas que las organizaciones pueden tomar para mitigar el impacto de un ataque. Estos van desde la administración sólida de contraseñas y la autenticación multifactor hasta la administración de parches y la implementación de acceso de privilegios mínimos a los recursos de la red.

Sin embargo, una de las recomendaciones más importantes es implementar segmentación para restringir el ransomware capacidad de moverse libremente a través de la red:

”Segmentar redes para evitar la propagación del ransomware. La segmentación de la red puede ayudar a prevenir la propagación del ransomware al controlar los flujos de tráfico entre varias subredes y el acceso a ellas y al restringir el movimiento lateral del adversario”.

Aquí es donde Illumio entra en juego. De hecho, vamos más allá de la segmentación de red tradicional con un Segmentación de confianza cero enfoque recomendado por las principales firmas de analistas Forrester y Gartner.

Illumio detiene el ransomware en su recorrido con un enfoque simple de tres pasos:

1. Obtenga visibilidad basada en el riesgo: Illumio mapea automáticamente las comunicaciones y dependencias en todas las cargas de trabajo, data centers y nubes públicas.
2. Evaluar el riesgo: Illumio destaca las aplicaciones y sistemas corporativos con mayor riesgo.
3. Contener ransomware: Utilizamos esta información para bloquear cualquier camino y puerto riesgoso, como PYMES, que se puede utilizar para facilitar el movimiento lateral.

Siguiendo estos pasos, Illumio puede restringir proactivamente a los actores de amenazas de ransomware como BlackMatter antes de que puedan causar daños graves mientras aíslan activos críticos. Generación de políticas se simplifica mediante procesos automatizados que sugieren políticas de segmentación optimizadas para cualquier tipo de carga de trabajo (bare-metal, máquinas virtuales, contenedores). Incluso podemos pre-construir un switch de bloqueo de emergencia para activarlo en caso de una brecha para bloquear comunicaciones de red específicas.

Ninguna organización puede afirmar con confianza que hoy en día son 100 por ciento a prueba de violaciones. Pero con Illumio, tienes la tecnología para detener a los actores de amenazas antes de que puedan causar cualquier daño irreparable.

Para obtener más información, contacta con nosotros hoy.