BlackMatter Ransomware: reduza os riscos com a segmentação Zero Trust da Illumio
As várias agências do governo dos EUA com foco em segurança têm se tornado cada vez mais expressivas ultimamente. Essa é uma boa notícia para organizações que enfrentam um cenário de ransomware preenchido por cerca de 68 variantes discretas. O alerta mais recente da Agência de Segurança Cibernética e de Infraestrutura (CISA), do Federal Bureau of Investigation (FBI) e da Agência Nacional de Segurança (NSA) alertam sobre uma relativamente nova ransomware como serviço Grupo (RaaS) conhecido como BlackMatter.
O que é BlackMatter?
O grupo BlackMatter RaaS entrou em cena pela primeira vez em julho, com rumores de que pode ter links à infame operação DarkSide, que se aposentou alguns meses antes. DarkSide foi responsável pela Ataque colonial Pipeline, o que fez com que o principal gasoduto de combustível da Costa Leste fosse fechado por vários dias em maio.
De acordo com o alerta, a BlackMatter já teve como alvo “vários” fornecedores de infraestrutura crítica dos EUA, apesar de alegar evitar cuidados de saúde, governo, petróleo e gás e outras verticais. Um desses fornecedores, a New Cooperative, recebeu um resgate de 5,9 milhões de dólares no mês passado, embora as demandas de pagamento da BlackMatter possam chegar a 15 milhões de dólares, afirma a CISA.
Para organizações de vítimas, há uma série de riscos comerciais indiretos em potencial, incluindo:
- Custos de remediação, investigação e limpeza
- Multas regulatórias
- Danos à reputação e desgaste do cliente
- Custos legais, especialmente se dados pessoais vazarem
- Impacto na produtividade e interrupções operacionais
- Vendas perdidas
Como o BlackMatter opera?
O alerta da CISA tem muito para as equipes de segurança digerirem, com base na análise sandbox de uma amostra específica do BlackMatter. É importante ressaltar que, como uma operação de RaaS, vários grupos podem usar o mesmo ransomware de maneiras ligeiramente diferentes para atacar seus alvos.
Dito isso, as táticas, técnicas e procedimentos (TTPs) descritos pelo alerta podem ser resumidos como:
Persistência nas redes de vítimas — usando contas de teste com ferramentas legítimas de monitoramento remoto e desktop
Acesso à credencial — coleta de credenciais da memória do Local Security Authority Subsystem Service (LSASS) usando a ferramenta Process Monitor (procmon) da Microsoft
Descoberta de todos os hosts do Active Directory — usando credenciais previamente comprometidas incorporadas no protocolo LDAP (Lightweight Directory Access Protocol) e Server Message Block (SMB)
Enumeração de todos os processos em execução — usando informações do sistema NTQuery
Enumeração de todos os serviços em execução na rede — usando EnumServicesStatusExw
Movimento lateral — usando a função “srvsvc.netshareEnumall” Microsoft Remote Procedure Call (MSRPC) para listar todos os compartilhamentos descobertos e, em seguida, SMB para se conectar a eles
Exfiltração de dados — roubar dados para dupla extorsão
Criptografia — criptografia remota de compartilhamentos via protocolo SMB. O BlackMatter também pode limpar sistemas de backup
Como a segmentação Zero Trust da Illumio pode ajudar
O alerta da CISA lista várias etapas de melhores práticas que as organizações podem adotar para mitigar o impacto de um ataque. Elas abrangem desde o gerenciamento robusto de senhas e a autenticação multifatorial até o gerenciamento de patches e a implementação de acesso com privilégios mínimos aos recursos da rede.
No entanto, uma das recomendações mais importantes é implementar segmentação para restringir ransomwares capacidade de se mover livremente pela rede:
”Redes de segmentos para evitar a propagação do ransomware. A segmentação da rede pode ajudar a evitar a propagação do ransomware ao controlar os fluxos de tráfego entre e o acesso a várias sub-redes e ao restringir o movimento lateral do adversário.”
É aqui que o Illumio se destaca. Na verdade, vamos além da segmentação de rede tradicional com um Segmentação Zero Trust abordagem recomendada pelas principais empresas de análise Forrester e Gartner.
Illumio interrompe o ransomware com uma abordagem simples de três etapas:
- Obtenha visibilidade baseada em riscos: O Illumio mapeia automaticamente as comunicações e dependências em todas as cargas de trabalho, data centers e nuvens públicas.
- Avalie o risco: A Illumio destaca os aplicativos e sistemas corporativos com maior risco.
- Contenha ransomware: Usamos essa visão para bloquear quaisquer caminhos e portos arriscados, como PEQUENO E PEQUENO, que pode ser usado para facilitar o movimento lateral.
Seguindo essas etapas, a Illumio pode restringir proativamente os agentes de ameaças de ransomware, como o BlackMatter, antes que eles possam causar danos graves e, ao mesmo tempo, isolar ativos críticos. Geração de políticas é simplificado por meio de processos automatizados que sugerem políticas de segmentação otimizadas para qualquer tipo de carga de trabalho (bare-metal, máquinas virtuais, contêineres). Podemos até mesmo pré-construir um interruptor de bloqueio de emergência para ativar em caso de violação e bloquear comunicações de rede específicas.
Atualmente, nenhuma organização pode afirmar com segurança que está 100% à prova de violações. Mas com o Illumio, você tem a tecnologia para deter os agentes de ameaças antes que eles possam causar danos irreparáveis.
Para saber mais, entre em contato conosco hoje.