Cómo cumplir con la guía de Cisa Phobos Ransomware con Illumio
Recientemente, la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de la Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis y Intercambio de Información Multiestatal (MS-ISAC) lanzaron un nuevo asesoramiento en ciberseguridad destinado a informar a las organizaciones gubernamentales y de infraestructura crítica sobre cómo protegerse contra el ransomware Phobos.
En esta entrada de blog, aprenda qué es el ransomware Phobos, cómo los funcionarios gubernamentales recomiendan prepararse para Phobos y cómo el Panel de Protección contra Ransomware de Illumio puede ayudar a lograr estas recomendaciones.
¿Qué es el ransomware Phobos??
El ransomware Phobos está relacionado con múltiples variantes de ransomware, incluyendo Elking, Eight, Devos, Backmydata y Faust ransomware. La variante Backmydata se utilizó en un ataque de febrero de 2024 en Rumania que resultó en que los sistemas se desconectaran alrededor de 100 centros de salud.
El aviso comparte tácticas, técnicas y procedimientos conocidos (TTP) e indicadores de compromiso (IOCs) asociados con las variantes de ransomware Phobos observadas tan recientemente como febrero de 2024. Phobos opera como un modelo de ransomware como servicio (RaaS) y se ha dirigido a varios sectores desde mayo de 2019, incluidos el gobierno, los servicios de emergencia, la atención médica y la educación.
Cómo protegerse contra Phobos ransomware
El aviso proporciona tres puntos clave para mitigar la actividad del ransomware Phobos:
- Asegure los puertos RDP para evitar que los actores de amenazas abusen y aprovechen las herramientas de RDP.
- Priorizar la remediación de vulnerabilidades explotadas conocidas.
- Implementar soluciones EDR para interrumpir las técnicas de asignación de memoria de los actores de amenazas.
El Plataforma de Segmentación Illumio Zero Trust puede ayudarle a abordar estas tres recomendaciones.
1. Utilice el panel de protección contra ransomware de Illumio para proteger los puertos RDP
Con solo unos pocos pasos rápidos, su organización puede realizar mejoras importantes para frustrar a los malos actores y prevenir el movimiento lateral dentro de su entorno. Si puede evitar el movimiento lateral, se asegura de que incluso si los atacantes entren, no lleguen muy lejos ni accedan a aplicaciones de misión crítica.
Repasemos los tres pasos para asegurar los puertos RDP mediante Panel de protección contra ransomware:
- Identificar dónde hay Tráfico RDP en su entorno
- Siga las acciones recomendadas en el panel de protección contra ransomware de Illumio
- Medir la mejora en la puntuación de protección contra ransomware

Identificar el Tráfico RDP en su entorno
El Panel de Protección contra Ransomware de Illumino rastrea fácilmente los servicios de mayor riesgo en su entorno. Uno de estos servicios es RDP. Si está expuesto en su entorno sin que las políticas lo controlen, es posible que lo vea en su informe Top 5 Risky Services. Alternativamente, también puede dirigirse al mapa para buscar específicamente el tráfico RDP.

En la imagen de arriba, puede ver que RDP figura en los cinco servicios más riesgosos, pero tampoco existe una política que controle este servicio.
Aquí es donde se puede hacer análisis de negocios para entender el impacto. Por ejemplo, hay ciertas personas en la organización que necesitan la capacidad de usar RDP. Esto es muy útil para TI que puede estar ayudando a los empleados que no están en el sitio a solucionar un problema. Sin embargo, no es algo que la carga de trabajo promedio deba tener disponible.
Aquí es donde entran en juego las acciones recomendadas por el panel de control.
Siga las acciones recomendadas por el Panel de protección contra ransomware
Una de las acciones recomendadas en el panel de control es crear una regla de denegar. Esta es una manera fácil de crear protección rápidamente a medida que avanza en lo que puede ser más grande Viaje a Zero Trust.

En este caso, dado que CISA recomienda asegurar los puertos RDP, el siguiente paso es construir una regla de denegar para bloquear este tráfico. Las excepciones se pueden agregar según sea necesario, pero generalmente esto se bloqueará. Esto proporciona protección proactiva contra cualquier ataque de ransomware Phobos.
Cuando aplica reglas de denegar con Illumio, su nueva política se implementa en toda su organización en minutos, sin importar la escala.
Medir la mejora de la seguridad en la puntuación de protección contra ransomware
Una excelente manera de medir su progreso en la protección de su entorno es con la puntuación de protección contra ransomware del panel de control. A medida que implementa políticas y realiza cambios importantes, como bloquear el tráfico RDP, puede ver que esa puntuación sube.
Illumio no solo proporciona su puntuación actual, sino también esta puntuación a lo largo del tiempo. Esta es una excelente manera de medir cómo protege a su organización contra amenazas en constante evolución.

2. Remediar vulnerabilidades explotadas conocidas con Segmentación de Confianza Cero
La Segmentación de Confianza Cero (ZTS) puede ayudarle a reducir el impacto de los ataques de ransomware como Phobos al ver y abordar dónde vulnerabilidades en su red han sido explotados.
Vea y corrija brechas de seguridad
El Mapa de Illumio ayuda a revelar sistemas o aplicaciones con comunicación excesiva, innecesaria o que no cumple con las normas. Incluso puede combinar esta información con datos de escáneres de vulnerabilidades.
Con esta información, los equipos de seguridad pueden establecer políticas de segmentación flexibles y granulares para reducir la exposición a vulnerabilidades y detener la propagación de brechas inevitables. Al comprender el contexto y la exposición, las cargas de trabajo se pueden asegurar rápidamente antes de que se implemente un parche.

Cuantifique el riesgo con información basada en datos sobre vulnerabilidades
Ante amenazas como el ransomware Phobos, es crucial no solo identificar sino también cuantificar las vulnerabilidades potenciales dentro de su red. Illumio muestra los puntos débiles de la red para que los equipos puedan implementar medidas proactivas precisamente donde más se necesitan.
Esta información proporciona a los equipos multifuncionales conocimientos prácticos para abordar las brechas de seguridad, fomentar la toma de decisiones basada en datos y mejorar las estrategias de mitigación de riesgos en todo el entorno.
Construya de manera proactiva defensas contra vulnerabilidades
Modele, pruebe e implemente la segmentación granular de activos de alto riesgo como control de compensación, protegiendo sistemas críticos cuando la implementación de parches no sea factible o introduzca una complejidad operacional inaceptable.
La conciencia es clave. Si el tráfico se conecta a un puerto con una vulnerabilidad conocida, el centro de operaciones de seguridad (SOC) recibe una alerta de la infracción, incluido el contexto de vulnerabilidad y gravedad con los datos proporcionados por Illumio.
3. Combine EDR y Segmentación de Confianza Cero para detectar y proteger automáticamente contra el movimiento lateral
Complementos de Illumio EDR al reducir la superficie de ataque con políticas de Segmentación de Confianza Cero que dejan poco margen de maniobra a los atacantes. Illumio llena el vacío entre incidente y detección, agnóstico del patrón de ataque.
Según el aviso de ciberseguridad, EDR es una pieza importante de protección contra ataques de ransomware como Phobos. Pero cuando un ataque finalmente infracciona un punto final, EDR no tiene forma de evitar que esa brecha continúe moviéndose lateralmente a través de la red de su organización. Por eso es fundamental combinar EDR con ZTS. Cuando el sistema EDR detecta una brecha, ZTS puede apagar y poner en cuarentena automáticamente cualquier carga de trabajo infectada.

La combinación de tecnología proactiva como ZTS con tecnología reactiva como EDR en cada endpoint disminuye la debilidad del tiempo de permanencia al tiempo de permanencia, al tiempo que aumenta significativamente las capacidades de respuesta. De hecho, según las pruebas realizadas por Obispo Fox, la combinación de EDR con Illumio redujo radicalmente la propagación de un atacante mientras detectaba 4 veces más rápido.
Ponte en contacto con nosotros para saber cómo la Segmentación de Confianza Cero puede ayudarle a cumplir con la guía de CISA y detener los ataques de ransomware como Phobos hoy en día.