Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

Defendiendo contra Conti Ransomware: Por qué CISA recomienda urgentemente la microsegmentación

Raghu Nandakumara
,
Director Senior, Mercadotecnia de Soluciones Industriales
September 23, 2021
23 min. lectura

En 2021, la Agencia de Seguridad de la Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) emitieron una ciberseguridad conjunta asesoria en torno a la ola en curso de ataques de ransomware Conti, una variante del modelo de ransomware como servicio (RaaS) que se sabe que ha estado detrás de más de 400 ataques contra organizaciones estadounidenses e internacionales desde su creación en 2020.

Conti es solo el último en el flagelo del ransomware en curso. A medida que nos acercamos al primer aniversario del Brecha de SolarWinds, los ataques de ransomware continúan evolucionando y abundando, en una escala inequívoca.

Ahora más que nunca, es imperativo que las organizaciones tomen las medidas necesarias para apuntalar su resiliencia cibernética, no solo para proteger y defender sus propios negocios, sino también a sus clientes y cadenas de suministro de la ola continua. ransomware ataques.

¿Qué es Conti ransomware?

De acuerdo con el asesoramiento conjunto de CISA y el FBI, “En los típicos ataques de ransomware Conti, los ciberactores maliciosos roban archivos, cifran servidores y estaciones de trabajo, y exigen un pago de rescate”.

El aviso también señaló que los desarrolladores de Conti a menudo pagan a los implementadores del ransomware un salario en lugar de un porcentaje de las ganancias de un ataque exitoso. Esta revelación hace que el modelo en sí sea aún más alarmante, ya que a los despliegues se les paga independientemente de lo “exitoso” que sea un ataque dado.

A principios de este mes, SiliconAngle reportaron que Conti ha “sido vinculado a una serie de ataques, incluido uno dirigido contra el servicio de salud de Irlanda en mayo... Las víctimas anteriores de Conti incluyen al fabricante de computadoras industriales Advantech en noviembre, el fabricante de hardware y software VOIP Sangoma Technologies en diciembre y hospitales en Florida y Texas en febrero”.

SiliconAngle también señaló que Conti fue objeto de una advertencia del FBI en mayo que decía que la pandilla y sus afiliados estaban apuntando a los proveedores de atención médica, un sector vital, particularmente a medida que continúa la pandemia de Covid-19.

Salvaguardia contra Conti

Con el fin de proteger los sistemas contra el ransomware Conti, CISA y el FBI recomiendan las siguientes precauciones: Cero Confianza y segmentación los principios son los principales entre ellos:

  • Usar autenticación multifactor para acceder remotamente a las redes desde fuentes externas.
  • Implementar segmentación de redes y filtrar el tráfico. Implementar y asegurar una sólida segmentación de red entre redes y funciones para reducir la propagación del ransomware. Filtre el tráfico de red para prohibir las comunicaciones de entrada y salida con direcciones IP maliciosas conocidas. Habilite filtros de spam sólidos para evitar que los correos electrónicos de phishing lleguen a los usuarios finales.

    Las organizaciones también deben considerar implementar un programa de capacitación de usuarios para disuadirlo de visitar sitios web maliciosos o abrir archivos adjuntos maliciosos. Los equipos de TI deben implementar una lista de bloqueo de URL y/o lista de permitidos para evitar que los usuarios accedan a sitios web maliciosos; con kits de herramientas de tecnología más avanzada, esto se puede automatizar.
  • Analice en busca de vulnerabilidades y mantenga el software actualizado. Configure programas antivirus y antimalware para realizar análisis periódicos de los activos de red utilizando firmas actualizadas. Las organizaciones también deben asegurarse de actualizar el software y los sistemas operativos, las aplicaciones y el firmware en los activos de red de manera oportuna.
  • Elimine las aplicaciones innecesarias y aplique controles. Elimine cualquier aplicación que no se considere necesaria para las operaciones diarias. Investigar cualquier software no autorizado.
  • Implementar herramientas de respuesta de detección y punto final. Se sabe que las herramientas de respuesta de detección y punto final mejoran la visibilidad que tienen los equipos de SecOps en cualquier entorno de ciberseguridad dado, lo que significa que los actores cibernéticos maliciosos y las amenazas potenciales se pueden identificar y mitigar mejor desde el principio.
  • Proteja las cuentas de usuario. Audite regularmente las cuentas de usuario administrativo y configure los controles de acceso bajo los principios de privilegio mínimo (Confianza Cero) y separación de funciones. Las organizaciones también deben auditar regularmente los registros para garantizar que las nuevas cuentas sean usuarios legítimos.

A medida que salen a la luz más modelos RaaS y cepas de ransomware, es esencial que las organizaciones identifiquen y minimicen cualquier potencial potencial de amenaza o vulnerabilidad desde el principio. Entre las recomendaciones descritas anteriormente, una de las mejores prácticas críticas sobre las que las organizaciones deben actuar hoy en día es la segmentación.

Cómo puede ayudar la segmentación de confianza cero de Illumio

Illumio detiene el ransomware en su seguimiento y, a diferencia de la segmentación de redes heredada, evoluciona con su organización al ofrecer:

  • Segmentación sencilla y rápida. Con Illumio, puede segmentar aplicaciones, usuarios y activos específicos en minutos utilizando la creación automática de políticas.

    En el caso de Conti, el ransomware explotó el bloque de mensajes del servidor (PYMES) y protocolo de escritorio remoto (RDP) para moverse lateralmente. Con Núcleo de Illumio, puede escribir una política simple que bloquee ambos protocolos en todo su patrimonio, excepto donde sean absolutamente necesarios, lo que reduce rápida y eficazmente la exposición al riesgo.
  • Política que escala con sus entornos dinámicos. Dado que Illumio utiliza su infraestructura existente para hacer cumplir las políticas, escalará junto con su red a medida que evolucione.
  • Segmentación a nivel de host. Mediante el uso de firewalls basados en host existentes, puede administrar todas sus políticas de segmentación desde una sola instancia en la nube sin tener que tocar la infraestructura ni mover cables.


Obtenga más información sobre cómo Illumio puede reducir drásticamente su riesgo al limitar el alcance de una violación exitosa: Lea el documento, Cómo evitar que el ransomware se convierta en un desastre cibernético, y echa un vistazo a la publicación del blog, 9 razones para usar Illumio para combatir el ransomware.

Para obtener información adicional sobre la pandilla ransomware Conti, visite el oficial asesoria página.

Temas relacionados

Contención de Ransomware

Artículos relacionados

Por qué los firewalls no son suficientes para la contención del ransomware
Contención de Ransomware

Por qué los firewalls no son suficientes para la contención del ransomware

Descubra las razones por las que los firewalls son demasiado lentos para mantenerse al día con las amenazas y por qué la microsegmentación es clave para la contención del ransomware.

Leer más
Por qué la protección de su OT no requiere una inspección profunda de paquetes de capa 7
Contención de Ransomware

Por qué la protección de su OT no requiere una inspección profunda de paquetes de capa 7

Descubra por qué la Segmentación de Confianza Cero es una mejor respuesta para prevenir la propagación de brechas.

Leer más
S&P Global: Las 3 formas principales de abordar la amenaza de ransomware de infraestructura crítica
Contención de Ransomware

S&P Global: Las 3 formas principales de abordar la amenaza de ransomware de infraestructura crítica

Trevor Dearing, director de marketing de soluciones de Illumio, y Eric Hanselman, analista jefe de Inteligencia de Mercado Global de S&P Global se ocupan de las problemas del ransomware.

Leer más
Preguntas y respuestas de expertos: ¿Por qué las empresas siguen teniendo que comprar ransomware?
Contención de Ransomware

Preguntas y respuestas de expertos: ¿Por qué las empresas siguen teniendo que comprar ransomware?

Conseguir la perspectiva de un experto sobre los factores que llevan a las organizaciones a pagar los resandos a pesar de sus riesgos reputacionales, financieros y de seguridad.

Leer más
Cómo Brooks usa Illumio para evitar que el ransomware se ejecute de manera desenfrenada
Contención de Ransomware

Cómo Brooks usa Illumio para evitar que el ransomware se ejecute de manera desenfrenada

Vea por qué Brooks eligió Illumio Zero Trust Segmentation para garantizar la confiabilidad de sus negocios minoristas y de comercio electrónico.

Leer más
Cómo contener los ataques LockBit Ransomware con Illumio
Contención de Ransomware

Cómo contener los ataques LockBit Ransomware con Illumio

Descubra cómo funciona el ransomware LockBit y cómo Illumio Zero Trust Segmentation contenía un ataque de ransomware LockBit en el verano de 2022.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información