.png)
Como conter ataques de ransomware LockBit com o Illumio
O risco de ransomware é a principal preocupação de muitas organizações.
Com novos ataques constantemente nas manchetes, é impossível evitá-los. Nesse ponto, a maioria das organizações opera sob a suposição de que, em algum momento, elas serão violadas. A melhor maneira de evitar um desastre cibernético é planejar isso e proteger sua organização adequadamente.
A Illumio ajuda as organizações a evitar desastres cibernéticos impedindo a propagação lateral leste-oeste. Com o Illumio, quando essa violação ocorrer, ela será rapidamente contida. O Illumio proíbe a capacidade do ataque de ultrapassar a primeira carga de trabalho sequestrada e evita a perda de dados valiosos.
Hoje, mostraremos um caso de uso real com o LockBit para ilustrar o seguinte:
- O que é Lockbit?
- Como isso se parece no mundo real?
- Passo a passo como você pode resolver isso com o Illumio
As violações são assustadoras, mas a Illumio pode ajudar você a se preparar.
Saiba mais sobre Segmentação Illumio Zero Trust.
O que é Lockbit?
LockBit é um grupo que administra ransomware como serviço desde 2019 e está nas manchetes. Embora comumente conhecido como ransomware ABCD, o LockBit agora se tornou uma grande ameaça, representando 48% dos ataques conhecidos em 2022.
O LockBit é um software malicioso que visa organizações por meio de anexos de e-mail e infecções em cascata do sistema de arquivos. Ao contrário de outros tipos de ransomware que se concentram em empresas e indivíduos, o LockBit afeta principalmente empresas e organizações governamentais.
Uma vez infectado, o Lockbit se espalha por outros dispositivos na rede via SMB e PowerShell. O foco desses ataques está em dispositivos Windows e Linux.
Vejamos um exemplo real dessa organização em ação.
Um exemplo do mundo real: ataque de ransomware Lockbit
Isso está impactando empresas e agências em todo o mundo. Recentemente, no verão passado, uma grande organização multinacional que emprega mais de 150.000 pessoas foi atingida por um ransomware. A LockBit assumiu a responsabilidade por esse ataque e por ter conseguido roubar dados.
A organização conseguiu manter o controle de seus sistemas de TI e tomou medidas defensivas para restaurar a integridade total de seus sistemas de TI. Eles começaram a trabalhar com terceiros para investigar o incidente. No final do outono, eles ainda estavam investigando o problema.
Quando essas situações surgem, sua resolução pode ser extremamente cara e demorada. Mais de três meses depois, a investigação estava em andamento. Essa é uma realidade comum para organizações atingidas por todos os tipos de ataques.
A Illumio ajuda as organizações a responder rapidamente a essas situações para limitar o impacto de uma violação inevitável. Isso pode economizar tempo e dinheiro em uma investigação cara.
Como abordar esse cenário de ransomware com o Illumio
Visibilidade é fundamental
Fui alertado sobre o risco de o Lockbit ter entrado em uma de nossas máquinas Windows 10. A primeira etapa crítica nessa situação é entender quantos dispositivos em potencial podem ser afetados.
Usando Illumination Plus da Illumio, posso agrupar meu tráfego com base no sistema operacional (sistema operacional):
Isso me dá uma visão clara dos meus dispositivos por sistema operacional. Posso ver se há algum tráfego ativo entre dispositivos Windows 10 e outros em toda a minha organização para tomar decisões informadas sobre o que fazer a seguir. É importante observar que esse tráfego é visível em tempo real, não é necessário esperar ou se preocupar se for uma versão antiga. Sei que tenho acesso às informações mais atuais da minha organização.
Agora que entendo que atualmente há tráfego entre meus dispositivos Windows 10 e outros dispositivos em toda a minha organização, preciso formular rapidamente um plano para desligar o tráfego entre esses dispositivos. Eu sei que o LockBit geralmente usa SMB e PowerShell para se mover pela rede, então vou começar fazendo uma análise de ameaças.
Em seguida, colocarei os dispositivos afetados em quarentena e desligarei o SMB e o PowerShell em qualquer lugar que eu saiba que não são necessários.
Crie regras de negação rapidamente para evitar a propagação
Para fazer isso, precisarei criar uma regra de negação no Illumio. Eles são referidos no produto como Limites de fiscalização. Primeiro, criarei uma nova regra com um nome como Block SMB e PowerShell.
Quando clico em salvar, o Illumio me guia imediatamente para uma página na qual posso ver todas as conexões potencialmente bloqueadas por essa nova regra. Essa é uma ótima maneira de verificar onde está o impacto e entender o que pode ser afetado antes de implementar a regra.
Depois de analisar qual tráfego será afetado, clico em provisionar para aplicar a nova política. Se houver casos em que eu precise que esse tráfego continue, digamos, por exemplo, permitindo que as estações de trabalho do Windows ainda acessem um servidor de arquivos especificado via SMB, posso fazer exceções com regras de permissão.
Proteção agora
Com o clique de um botão, o Illumio aplica imediatamente as alterações a todas as cargas de trabalho afetadas. Isso dá à minha organização proteção rápida em uma situação crítica para os negócios.
Agora que coloquei os dispositivos afetados em quarentena e implementei uma regra para limitar a comunicação com o resto da rede, eliminei o risco de uma maior disseminação. Neste ponto, posso começar a tarefa de revisar os dispositivos em quarentena.
Leia o Relatório do Bishop Fox isso prova que a Illumio interrompe o ransomware em menos de 10 minutos em comparação com as soluções de detecção e resposta de terminais (EDR).
Seja proativo contra a propagação de ransomware com o Illumio
Ter uma solução como a Illumio implementada permite que as organizações sejam proativas no controle da propagação de qualquer tráfego indesejado entre dispositivos. O Illumio limita o movimento lateral leste-oeste de um ataque, dando às ferramentas de detecção e resposta o tempo necessário para identificar ameaças.
O Illumio trabalha com as ferramentas de segurança tradicionais, como EDR, NDR, XDR e firewalls de perímetro, para melhorar resiliência cibernética.
Entre em contato Hoje, a Illumio verá uma contenção rápida de violações como nunca antes.
