Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

Cómo contener los ataques LockBit Ransomware con Illumio

Illumio Editorial
,
January 26, 2023
23 min. lectura

El riesgo de ransomware es una de las principales preocupaciones de muchas organizaciones.

Con nuevos ataques constantemente en los titulares, es imposible evitarlos. En este punto, la mayoría de las organizaciones operan bajo el supuesto de que en algún momento serán violadas. La mejor manera de prevenir un desastre cibernético es planificar esto y proteger su organización en consecuencia.

Illumio ayuda a las organizaciones a prevenir desastres cibernéticos al detener la propagación lateral este-oeste. Con Illumio, cuando se produzca esa brecha, se contendrá rápidamente. Illumio prohíbe la capacidad del ataque para progresar más allá de la primera carga de trabajo que secuestró y evita la pérdida de datos valiosos.

Hoy, lo guiaremos a través de un caso de uso real con LockBit para ilustrar lo siguiente:

  • ¿Qué es Lockbit?
  • ¿Cómo se ve esto en el mundo real?
  • Paso a paso cómo puedes resolver esto con Illumio

Las brechas dan miedo, pero Illumio puede ayudarte a estar preparado.

Más información sobre Segmentación de confianza cero de Illumio.

¿Qué es Lockbit?

LockBit es un grupo que ejecuta ransomware como servicio desde 2019 que ha estado en los titulares. Aunque comúnmente conocido como ransomware ABCD, LockBit ahora se ha convertido en una amenaza importante, lo que representa 48% de los ataques conocidos en 2022.

LockBit es un software malicioso que se dirige a las organizaciones a través de archivos adjuntos de correo electrónico e infecciones en cascada del sistema de archivos. A diferencia de otros tipos de ransomware que se centran en empresas e individuos, LockBit afecta principalmente a empresas y organizaciones gubernamentales.

Una vez infectado, Lockbit se propaga a través de otros dispositivos de la red a través de SMB y PowerShell. El foco de estos ataques está en dispositivos Windows y Linux.

Veamos un ejemplo real de esta organización en acción.

Un ejemplo del mundo real: ataque de ransomware Lockbit

Esto está impactando a empresas y agencias de todo el mundo. Tan recientemente como el verano pasado, una gran organización multinacional que emplea a más de 150.000 personas fue atacada por ransomware. LockBit se ha atribuido la responsabilidad de este ataque y que pudieron robar datos.

La organización pudo mantener el control de sus sistemas de TI y tomó medidas defensivas para restaurar la integridad total de sus sistemas de TI. Empezaron a trabajar con un tercero para investigar el incidente. A finales del otoño, seguían investigando el tema.

Cuando surgen estas situaciones, puede ser increíblemente costoso y llevar mucho tiempo resolverlo. Más de tres meses después, y la investigación estaba en curso. Esta es una realidad común para las organizaciones golpeadas con todo tipo de ataques.

Illumio ayuda a las organizaciones a responder rápidamente a estas situaciones para limitar el impacto de una inevitable brecha. Esto puede ahorrar tiempo y dinero en una investigación costosa.

Cómo abordar este escenario de ransomware con Illumio

La visibilidad es clave

Me alertan sobre un riesgo de que Lockbit pueda haber entrado en una de nuestras máquinas con Windows 10. El primer paso crítico en esta situación es comprender cuántos dispositivos potenciales podrían verse afectados.

Usando Iluminación de Illumio Plus, puedo agrupar mi tráfico según el sistema operativo (sistema operativo):

illumio-illumination-plus

Esto me da una visión clara de mis dispositivos por sistema operativo. Puedo ver si hay algún tráfico activo entre dispositivos Windows 10 y otros en toda mi organización para tomar decisiones informadas sobre qué hacer a continuación. Una cosa clave a tener en cuenta es que este tráfico es visible en tiempo real, sin necesidad de esperar ni preocuparse si se trata de una versión antigua. Sé que tengo acceso a la información más actualizada dentro de mi organización.

illumio-operating-system-traffic-visibility

Ahora que entiendo que actualmente hay tráfico entre mis dispositivos Windows 10 y otros dispositivos en toda mi organización, necesito formular rápidamente un plan para cerrar el tráfico entre estos dispositivos. Sé que LockBit comúnmente usa SMB y PowerShell para moverse a través de una red, así que comenzaré haciendo algunos análisis de amenazas.

A continuación, moveré los dispositivos afectados a cuarentena y apagaré SMB y PowerShell en cualquier lugar donde sepa que no es necesario.

Cree rápidamente reglas de denegar para evitar la propagación

Para ello, voy a necesitar crear una regla de denegar dentro de Illumio. Estos se denominan en el producto como Límites de aplicación. Primero, voy a crear una nueva regla con un nombre como, Block SMB y PowerShell.

Cuando hago clic en guardar, Illumio me guía inmediatamente a una página donde puedo ver todas las conexiones potencialmente bloqueadas por esta nueva regla. Esta es una gran manera de comprobar dónde está el impacto y entender qué podría verse afectado antes de poner la regla en su lugar.

illumio-draft-policy

Después de revisar qué tráfico se verá afectado, hago clic en provisiones para aplicar la nueva política. Si hay instancias en las que necesito que este tráfico continúe, por ejemplo, permitiendo que las estaciones de trabajo de Windows sigan accediendo a un File Server especificado a través de SMB, puedo hacer excepciones con reglas de permitir.

Protección ahora

Con el clic de un botón, Illumio aplica inmediatamente los cambios a todas las cargas de trabajo afectadas. Esto brinda a mi organización una protección rápida en una situación crítica para el negocio.

Ahora que he puesto en cuarentena los dispositivos impactados y he puesto en marcha una regla para limitar la comunicación con el resto de la red, he eliminado el riesgo de una mayor propagación. En este punto, puedo comenzar la tarea de revisar los dispositivos en cuarentena.

Leer el Informe de Bishop Fox que demuestra que Illumio detiene el ransomware en menos de 10 minutos en comparación con las soluciones de detección y respuesta de puntos finales (EDR).

Sea proactivo contra la propagación del ransomware con Illumio

Tener una solución como Illumio en su lugar permite a las organizaciones ser proactivas en el control de la propagación de cualquier tráfico no deseado entre dispositivos. Illumio limita el movimiento lateral este-oeste de un ataque, dando a las herramientas de detección y respuesta el tiempo que necesitan para identificar amenazas.

Illumio trabaja junto con las herramientas de seguridad tradicionales, como EDR, NDR, XDR y firewalls perimetrales, para mejorar ciberresiliencia.

Contacto Illumino hoy para ver una rápida contención de brechas como nunca antes.

Temas relacionados

Respuesta a incidentes
Contención de Ransomware

Artículos relacionados

Cómo contener los ataques LockBit Ransomware con Illumio
Contención de Ransomware

Cómo contener los ataques LockBit Ransomware con Illumio

Descubra cómo funciona el ransomware LockBit y cómo Illumio Zero Trust Segmentation contenía un ataque de ransomware LockBit en el verano de 2022.

Leer más
5 pasos para frenar el malware con segmentación de confianza cero
Contención de Ransomware

5 pasos para frenar el malware con segmentación de confianza cero

Leer más
Hive Ransomware: Cómo limitar su picadura con la segmentación de confianza cero de Illumio
Contención de Ransomware

Hive Ransomware: Cómo limitar su picadura con la segmentación de confianza cero de Illumio

Obtenga más información sobre Hive ransomware y cómo Illumio puede ayudar a mitigar el riesgo que representa su organización.

Leer más
Cómo Brooks usa Illumio para evitar que el ransomware se ejecute de manera desenfrenada
Contención de Ransomware

Cómo Brooks usa Illumio para evitar que el ransomware se ejecute de manera desenfrenada

Vea por qué Brooks eligió Illumio Zero Trust Segmentation para garantizar la confiabilidad de sus negocios minoristas y de comercio electrónico.

Leer más
Bishop Fox: Probando la efectividad de segmentaciones de confianza cero contra el ransomware
Contención de Ransomware

Bishop Fox: Probando la efectividad de segmentaciones de confianza cero contra el ransomware

Conozca cómo Bishop Fox creó una emulación de ataque de ransomware para probar la efectividad de la Segmentación de Confianza Cero.

Leer más
Obtenga un ROI confiable con la segmentación de confianza cero de Illumio
Segmentación de confianza cero

Obtenga un ROI confiable con la segmentación de confianza cero de Illumio

Las redes híbridas e hiperconectadas de hoy en día han hecho que la prevención por sí sola sea ineficaz, la contención Zero Trust ofrece mejores soluciones de retorno de la inversión del call center.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información