/
Contenção de ransomware

BlackMatter Ransomware: reduza os riscos com a segmentação Zero Trust da Illumio

As várias agências do governo dos EUA com foco em segurança têm se tornado cada vez mais expressivas ultimamente. Essa é uma boa notícia para organizações que enfrentam um cenário de ransomware preenchido por cerca de 68 variantes discretas. O alerta mais recente da Agência de Segurança Cibernética e de Infraestrutura (CISA), do Federal Bureau of Investigation (FBI) e da Agência Nacional de Segurança (NSA) alertam sobre uma relativamente nova ransomware como serviço Grupo (RaaS) conhecido como BlackMatter.

O que é BlackMatter?

O grupo BlackMatter RaaS entrou em cena pela primeira vez em julho, com rumores de que pode ter links à infame operação DarkSide, que se aposentou alguns meses antes. DarkSide foi responsável pela Ataque colonial Pipeline, o que fez com que o principal gasoduto de combustível da Costa Leste fosse fechado por vários dias em maio.

De acordo com o alerta, a BlackMatter já teve como alvo “vários” fornecedores de infraestrutura crítica dos EUA, apesar de alegar evitar cuidados de saúde, governo, petróleo e gás e outras verticais. Um desses fornecedores, a New Cooperative, recebeu um resgate de 5,9 milhões de dólares no mês passado, embora as demandas de pagamento da BlackMatter possam chegar a 15 milhões de dólares, afirma a CISA.

Para organizações de vítimas, há uma série de riscos comerciais indiretos em potencial, incluindo:

  • Custos de remediação, investigação e limpeza
  • Multas regulatórias
  • Danos à reputação e desgaste do cliente
  • Custos legais, especialmente se dados pessoais vazarem
  • Impacto na produtividade e interrupções operacionais
  • Vendas perdidas

Como o BlackMatter opera?

O alerta da CISA tem muito para as equipes de segurança digerirem, com base na análise sandbox de uma amostra específica do BlackMatter. É importante ressaltar que, como uma operação de RaaS, vários grupos podem usar o mesmo ransomware de maneiras ligeiramente diferentes para atacar seus alvos.

Dito isso, as táticas, técnicas e procedimentos (TTPs) descritos pelo alerta podem ser resumidos como:

Persistência nas redes de vítimas — usando contas de teste com ferramentas legítimas de monitoramento remoto e desktop

Acesso à credencial — coleta de credenciais da memória do Local Security Authority Subsystem Service (LSASS) usando a ferramenta Process Monitor (procmon) da Microsoft

Descoberta de todos os hosts do Active Directory — usando credenciais previamente comprometidas incorporadas no protocolo LDAP (Lightweight Directory Access Protocol) e Server Message Block (SMB)

Enumeração de todos os processos em execução — usando informações do sistema NTQuery

Enumeração de todos os serviços em execução na rede — usando EnumServicesStatusExw

Movimento lateral — usando a função “srvsvc.netshareEnumall” Microsoft Remote Procedure Call (MSRPC) para listar todos os compartilhamentos descobertos e, em seguida, SMB para se conectar a eles

Exfiltração de dados — roubar dados para dupla extorsão

Criptografia — criptografia remota de compartilhamentos via protocolo SMB. O BlackMatter também pode limpar sistemas de backup

Como a segmentação Zero Trust da Illumio pode ajudar

O alerta da CISA lista várias etapas de melhores práticas que as organizações podem adotar para mitigar o impacto de um ataque. Elas abrangem desde o gerenciamento robusto de senhas e a autenticação multifatorial até o gerenciamento de patches e a implementação de acesso com privilégios mínimos aos recursos da rede.

No entanto, uma das recomendações mais importantes é implementar segmentação para restringir ransomwares capacidade de se mover livremente pela rede:

Redes de segmentos para evitar a propagação do ransomware. A segmentação da rede pode ajudar a evitar a propagação do ransomware ao controlar os fluxos de tráfego entre e o acesso a várias sub-redes e ao restringir o movimento lateral do adversário.”

É aqui que o Illumio se destaca. Na verdade, vamos além da segmentação de rede tradicional com um Segmentação Zero Trust abordagem recomendada pelas principais empresas de análise Forrester e Gartner.

Illumio interrompe o ransomware com uma abordagem simples de três etapas:

  1. Obtenha visibilidade baseada em riscos: O Illumio mapeia automaticamente as comunicações e dependências em todas as cargas de trabalho, data centers e nuvens públicas.
  2. Avalie o risco: A Illumio destaca os aplicativos e sistemas corporativos com maior risco.
  3. Contenha ransomware: Usamos essa visão para bloquear quaisquer caminhos e portos arriscados, como PEQUENO E PEQUENO, que pode ser usado para facilitar o movimento lateral.

Seguindo essas etapas, a Illumio pode restringir proativamente os agentes de ameaças de ransomware, como o BlackMatter, antes que eles possam causar danos graves e, ao mesmo tempo, isolar ativos críticos. Geração de políticas é simplificado por meio de processos automatizados que sugerem políticas de segmentação otimizadas para qualquer tipo de carga de trabalho (bare-metal, máquinas virtuais, contêineres). Podemos até mesmo pré-construir um interruptor de bloqueio de emergência para ativar em caso de violação e bloquear comunicações de rede específicas.

Atualmente, nenhuma organização pode afirmar com segurança que está 100% à prova de violações. Mas com o Illumio, você tem a tecnologia para deter os agentes de ameaças antes que eles possam causar danos irreparáveis.

Para saber mais, entre em contato conosco hoje.

Tópicos relacionados

Artigos relacionados

Por que os firewalls não são suficientes para a contenção de ransomware
Contenção de ransomware

Por que os firewalls não são suficientes para a contenção de ransomware

Descubra os motivos pelos quais os firewalls são muito lentos para acompanhar as ameaças e por que a microssegmentação é fundamental para a contenção do ransomware.

Parando o REvil: como o Illumio pode interromper um dos grupos de ransomware mais prolíficos
Contenção de ransomware

Parando o REvil: como o Illumio pode interromper um dos grupos de ransomware mais prolíficos

Descubra como a segmentação Zero Trust da Illumio pode ajudar a impedir que o REvil, um dos grupos de ransomware mais prolíficos, ataque as operações da cadeia de suprimentos.

Desmistificando técnicas de ransomware usando Assemblies.NET: conjuntos EXE versus DLL
Contenção de ransomware

Desmistificando técnicas de ransomware usando Assemblies.NET: conjuntos EXE versus DLL

Conheça as principais diferenças entre os assemblies do.NET (EXE versus DLL) e como eles são executados em um código inicial de alto nível.

Como conter ataques de ransomware LockBit com o Illumio
Contenção de ransomware

Como conter ataques de ransomware LockBit com o Illumio

Descubra como o ransomware LockBit opera e como a Illumio Zero Trust Segmentation conteve um ataque de ransomware LockBit no verão de 2022.

Perguntas e respostas de especialistas: Por que as empresas ainda pagam ransomware?
Contenção de ransomware

Perguntas e respostas de especialistas: Por que as empresas ainda pagam ransomware?

Obtenha a perspectiva de um especialista sobre os fatores que levam as organizações a pagar resgates, apesar dos riscos de reputação, financeiros e de segurança.

4 princípios fundamentais para se proteger contra ransomware
Contenção de ransomware

4 princípios fundamentais para se proteger contra ransomware

Observar e implementar esses 4 princípios fundamentais ajudará você a proteger sua organização quando se trata de como se defender contra o ransomware. Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?