블랙매터 랜섬웨어: Illumio 제로 트러스트 세그멘테이션을 통한 위험 완화

산업 솔루션 마케팅 담당 시니어 디렉터

October 20, 2021

23 최소 읽기

미국 정부의 다양한 보안 중심 기관들은 최근 들어 점점 더 목소리를 높이고 있습니다.이는 약 68개의 개별 변종으로 가득 찬 랜섬웨어 환경에 직면한 조직에 희소식입니다. 최신 알림 사이버 보안 및 인프라 보안국 (CISA), 연방 수사국 (FBI) 및 국가 안보국 (NSA) 은 비교적 새로운 것에 대해 경고합니다. 서비스형 랜섬웨어 블랙매터로 알려진 (RaaS) 그룹.

블랙매터란 무엇인가?

블랙매터 (BlackMatter) RaaS 그룹은 7월에 처음 등장했는데, 소문이 돌고 있습니다. 링크가 있을 수 있습니다 몇 달 전에 은퇴한 악명 높은 DarkSide 작전에 대해서요다크사이드가 책임을 맡았습니다. 콜로니얼 파이프라인 공격이로 인해 5월에 동부 해안의 주요 연료 파이프라인이 며칠 동안 폐쇄되었습니다.

경고에 따르면 BlackMatter는 피하겠다고 주장했음에도 불구하고 이미 미국의 “여러” 중요 인프라 제공업체를 표적으로 삼았습니다. 건강 관리, 정부, 석유 및 가스 및 기타 업종.이러한 제공업체 중 하나인 New Cooperative 사는 지난 달 590만 달러의 몸값으로 타격을 입었지만, BlackMatter의 지불 요구는 1,500만 달러에 달할 수 있다고 CISA는 주장합니다.

피해 조직의 경우 다음과 같은 다양한 잠재적 비즈니스 위험이 있습니다.

개선, 조사 및 정리 비용
규제 벌금
평판 손상 및 고객 이탈
법적 비용 (특히 개인 데이터 유출 시)
생산성에 미치는 영향 및 운영 중단
판매 손실

블랙매터는 어떻게 작동하나요?

CISA 알림은 특정 BlackMatter 샘플에 대한 샌드박스 분석을 기반으로 보안 팀이 이해할 수 있는 내용이 많습니다.한 가지 중요한 점은 RaaS 운영의 경우 여러 그룹이 동일한 랜섬웨어를 약간씩 다른 방식으로 사용하여 대상을 공격할 수 있다는 점입니다.

즉, 경보에서 설명하는 전술, 기법 및 절차 (TTP) 는 다음과 같이 요약할 수 있습니다.

피해자 네트워크에서의 지속성 — 합법적인 원격 모니터링 및 데스크톱 도구가 포함된 평가판 계정 사용

자격 증명 액세스 — Microsoft의 프로세스 모니터 (procmon) 도구를 사용하여 로컬 보안 기관 하위 시스템 서비스 (LSASS) 메모리에서 자격 증명을 수집

모든 액티브 디렉토리 호스트 검색 — (경량 디렉터리 액세스 프로토콜) LDAP 및 SMB (서버 메시지 블록) 프로토콜에 내장된 이전에 손상된 자격 증명 사용

실행 중인 모든 프로세스 열거 — NT 쿼리 시스템 정보 사용

네트워크에서 실행 중인 모든 서비스 열거 — 열거형 서비스 상태 XW 사용

측면 이동 — “SrvSvc.netShareEnuMall” Microsoft 원격 프로시저 호출 (MSRPC) 함수를 사용하여 검색된 모든 공유를 나열한 다음 SMB를 사용하여 해당 공유에 연결합니다.

데이터 유출 — 이중 갈취를 위한 데이터 도용

암호화 — SMB 프로토콜을 통한 공유 원격 암호화BlackMatter는 백업 시스템을 지울 수도 있습니다.

Illumio 제로 트러스트 세그멘테이션이 도움을 줄 수 있는 방법

CISA 알림에는 조직이 공격의 영향을 완화하기 위해 취할 수 있는 여러 모범 사례 단계가 나열되어 있습니다.여기에는 강력한 암호 관리 및 다단계 인증부터 패치 관리 및 네트워크 리소스에 대한 최소 권한 액세스 구현에 이르기까지 다양합니다.

그러나 가장 중요한 권장 사항 중 하나는 랜섬웨어를 제한하기 위한 세그멘테이션 구현 네트워크를 통해 자유롭게 이동할 수 있는 능력:

”세그먼트 네트워크 랜섬웨어의 확산을 방지합니다.네트워크 세분화는 다양한 하위 네트워크 간의 트래픽 흐름과 이에 대한 액세스를 제어하고 적의 측면 이동을 제한하여 랜섬웨어의 확산을 방지하는 데 도움이 될 수 있습니다.”

이것이 바로 Illumio의 진가를 발휘하는 곳입니다.사실, 우리는 기존의 네트워크 세분화를 뛰어 넘는 기능을 제공합니다. 제로 트러스트 세그멘테이션 주요 분석 기관에서 권장하는 접근 방식 포레스터 과 가트너.

일루미오 랜섬웨어를 자동으로 차단합니다. 간단한 3단계 접근 방식:

위험 기반 가시성 확보: Illumio는 모든 워크로드, 데이터 센터 및 퍼블릭 클라우드에서 통신 및 종속성을 자동으로 매핑합니다.
위험 평가:Illumio는 가장 위험에 처한 기업 애플리케이션 및 시스템을 강조합니다.
랜섬웨어 포함:우리는 이러한 통찰력을 사용하여 다음과 같은 위험한 경로와 포트를 차단합니다. 중소 기업, 측면 이동을 용이하게 하는 데 사용할 수 있습니다.

이러한 단계에 따라 Illumio는 BlackMatter와 같은 랜섬웨어 위협 행위자가 심각한 피해를 입히기 전에 사전에 차단하고 중요 자산을 격리할 수 있습니다. 정책 생성 모든 유형의 워크로드 (베어메탈, 가상 머신, 컨테이너) 에 최적화된 세분화 정책을 제안하는 자동화된 프로세스를 통해 단순화됩니다.보안 침해 발생 시 활성화할 비상 잠금 스위치를 사전 구축하여 특정 네트워크 통신을 차단할 수도 있습니다.

오늘날 어떤 조직도 100% 보안 침해 방지 기능을 갖추고 있다고 자신 있게 주장할 수는 없습니다.하지만 Illumio를 사용하면 위협 행위자가 돌이킬 수 없는 피해를 입히기 전에 차단할 수 있는 기술을 확보할 수 있습니다.

자세히 알아보려면 문의하기 오늘.