BlackMatter Ransomware: reduza os riscos com a segmentação Zero Trust da Illumio

As várias agências do governo dos EUA com foco em segurança têm se tornado cada vez mais expressivas ultimamente. Essa é uma boa notícia para organizações que enfrentam um cenário de ransomware preenchido por cerca de 68 variantes discretas. O alerta mais recente da Agência de Segurança Cibernética e de Infraestrutura (CISA), do Federal Bureau of Investigation (FBI) e da Agência Nacional de Segurança (NSA) alertam sobre uma relativamente nova ransomware como serviço Grupo (RaaS) conhecido como BlackMatter.

O que é BlackMatter?

O grupo BlackMatter RaaS entrou em cena pela primeira vez em julho, com rumores de que pode ter links à infame operação DarkSide, que se aposentou alguns meses antes. DarkSide foi responsável pela Ataque colonial Pipeline, o que fez com que o principal gasoduto de combustível da Costa Leste fosse fechado por vários dias em maio.

De acordo com o alerta, a BlackMatter já teve como alvo “vários” fornecedores de infraestrutura crítica dos EUA, apesar de alegar evitar cuidados de saúde, governo, petróleo e gás e outras verticais. Um desses fornecedores, a New Cooperative, recebeu um resgate de 5,9 milhões de dólares no mês passado, embora as demandas de pagamento da BlackMatter possam chegar a 15 milhões de dólares, afirma a CISA.

Para organizações de vítimas, há uma série de riscos comerciais indiretos em potencial, incluindo:

• Custos de remediação, investigação e limpeza
• Multas regulatórias
• Danos à reputação e desgaste do cliente
• Custos legais, especialmente se dados pessoais vazarem
• Impacto na produtividade e interrupções operacionais
• Vendas perdidas

Como o BlackMatter opera?

O alerta da CISA tem muito para as equipes de segurança digerirem, com base na análise sandbox de uma amostra específica do BlackMatter. É importante ressaltar que, como uma operação de RaaS, vários grupos podem usar o mesmo ransomware de maneiras ligeiramente diferentes para atacar seus alvos.

Dito isso, as táticas, técnicas e procedimentos (TTPs) descritos pelo alerta podem ser resumidos como:

Persistência nas redes de vítimas — usando contas de teste com ferramentas legítimas de monitoramento remoto e desktop

Acesso à credencial — coleta de credenciais da memória do Local Security Authority Subsystem Service (LSASS) usando a ferramenta Process Monitor (procmon) da Microsoft

Descoberta de todos os hosts do Active Directory — usando credenciais previamente comprometidas incorporadas no protocolo LDAP (Lightweight Directory Access Protocol) e Server Message Block (SMB)

Enumeração de todos os processos em execução — usando informações do sistema NTQuery

Enumeração de todos os serviços em execução na rede — usando EnumServicesStatusExw

Movimento lateral — usando a função “srvsvc.netshareEnumall” Microsoft Remote Procedure Call (MSRPC) para listar todos os compartilhamentos descobertos e, em seguida, SMB para se conectar a eles

Exfiltração de dados — roubar dados para dupla extorsão

Criptografia — criptografia remota de compartilhamentos via protocolo SMB. O BlackMatter também pode limpar sistemas de backup

Como a segmentação Zero Trust da Illumio pode ajudar

O alerta da CISA lista várias etapas de melhores práticas que as organizações podem adotar para mitigar o impacto de um ataque. Elas abrangem desde o gerenciamento robusto de senhas e a autenticação multifatorial até o gerenciamento de patches e a implementação de acesso com privilégios mínimos aos recursos da rede.

No entanto, uma das recomendações mais importantes é implementar segmentação para restringir ransomwares capacidade de se mover livremente pela rede:

”Redes de segmentos para evitar a propagação do ransomware. A segmentação da rede pode ajudar a evitar a propagação do ransomware ao controlar os fluxos de tráfego entre e o acesso a várias sub-redes e ao restringir o movimento lateral do adversário.”

É aqui que o Illumio se destaca. Na verdade, vamos além da segmentação de rede tradicional com um Segmentação Zero Trust abordagem recomendada pelas principais empresas de análise Forrester e Gartner.

Illumio interrompe o ransomware com uma abordagem simples de três etapas:

1. Obtenha visibilidade baseada em riscos: O Illumio mapeia automaticamente as comunicações e dependências em todas as cargas de trabalho, data centers e nuvens públicas.
2. Avalie o risco: A Illumio destaca os aplicativos e sistemas corporativos com maior risco.
3. Contenha ransomware: Usamos essa visão para bloquear quaisquer caminhos e portos arriscados, como PEQUENO E PEQUENO, que pode ser usado para facilitar o movimento lateral.

Seguindo essas etapas, a Illumio pode restringir proativamente os agentes de ameaças de ransomware, como o BlackMatter, antes que eles possam causar danos graves e, ao mesmo tempo, isolar ativos críticos. Geração de políticas é simplificado por meio de processos automatizados que sugerem políticas de segmentação otimizadas para qualquer tipo de carga de trabalho (bare-metal, máquinas virtuais, contêineres). Podemos até mesmo pré-construir um interruptor de bloqueio de emergência para ativar em caso de violação e bloquear comunicações de rede específicas.

Atualmente, nenhuma organização pode afirmar com segurança que está 100% à prova de violações. Mas com o Illumio, você tem a tecnologia para deter os agentes de ameaças antes que eles possam causar danos irreparáveis.

Para saber mais, entre em contato conosco hoje.