BlackMatter Ransomware: Risikominderung mit Illumio Zero Trust-Segmentierung

Die verschiedenen sicherheitsorientierten Behörden der US-Regierung sind in letzter Zeit immer lauter geworden. Das sind gute Nachrichten für Unternehmen, die mit einer Ransomware-Landschaft konfrontiert sind, die von schätzungsweise 68 diskreten Varianten bevölkert ist. Die jüngste Warnung der Cybersecurity and Infrastructure Security Agency (CISA), des Federal Bureau of Investigation (FBI) und der National Security Agency (NSA) warnt vor einer relativ neuen Ransomware-as-a-Service (RaaS)-Gruppe, die als BlackMatter bekannt ist.

Was ist BlackMatter?

Die BlackMatter RaaS-Gruppe trat erstmals im Juli auf den Plan, wobei Gerüchte kursierten, dass sie Verbindungen zur berüchtigten DarkSide-Operation haben könnte, die ein paar Monate zuvor in den Ruhestand gegangen war. DarkSide war verantwortlich für den Angriff auf die Colonial Pipeline, der dazu führte, dass die wichtige Treibstoffpipeline an der Ostküste im Mai für mehrere Tage stillgelegt wurde.

Laut der Warnung hat BlackMatter bereits "mehrere" US-Anbieter kritischer Infrastrukturen ins Visier genommen, obwohl es behauptet, das Gesundheitswesen, die Regierung, die Öl- und Gasindustrie und andere Branchen zu meiden. Einer dieser Anbieter, New Cooperative, wurde letzten Monat mit einem Lösegeld von 5,9 Millionen US-Dollar belegt, obwohl die Zahlungsforderungen von BlackMatter laut CISA 15 Millionen US-Dollar erreichen können.

Für Opferorganisationen gibt es eine Reihe potenzieller Folgerisiken, darunter:

• Kosten für Sanierung, Untersuchung und Sanierung
• Bußgelder
• Reputationsschäden und Kundenabwanderung
• Rechtskosten, insbesondere wenn personenbezogene Daten durchgesickert sind
• Auswirkungen auf die Produktivität und Betriebsausfälle
• Entgangene Umsätze

Wie funktioniert BlackMatter?

Die CISA-Warnung hat für Sicherheitsteams viel zu verdauen, basierend auf der Sandbox-Analyse einer bestimmten BlackMatter-Probe. Es ist wichtig, darauf hinzuweisen, dass bei einer RaaS-Operation mehrere Gruppen dieselbe Ransomware auf leicht unterschiedliche Weise verwenden können, um ihre Ziele anzugreifen.

Die in der Warnung beschriebenen Taktiken, Techniken und Verfahren (TTPs) können jedoch wie folgt zusammengefasst werden:

Persistenz in Opfernetzwerken – Verwendung von Testkonten mit legitimen Fernüberwachungs- und Desktop-Tools

Zugriff auf Anmeldeinformationen – Sammeln von Anmeldeinformationen aus dem LSASS-Speicher (Local Security Authority Subsystem Service) mithilfe des Microsoft-Tools Process Monitor (procmon)

Erkennung aller Active Directory-Hosts – unter Verwendung zuvor kompromittierter Anmeldeinformationen, die in das LDAP- und SMB-Protokoll (Lightweight Directory Access Protocol) eingebettet sind

Aufzählung aller laufenden Prozesse – mit NtQuerySystemInformation

Aufzählung aller laufenden Dienste im Netzwerk – mit EnumServicesStatusExW

Lateral Movement — mit dem Operator "srvsvc. MSRPC-Funktion (Microsoft Remote Procedure Call) (NetShareEnumAll), um alle ermittelten Freigaben aufzulisten, und dann SMB, um eine Verbindung mit ihnen herzustellen

Datenexfiltration – um Daten für doppelte Erpressung zu stehlen

Verschlüsselung – Remote-Verschlüsselung von Freigaben über das SMB-Protokoll. BlackMatter kann auch Backup-Systeme löschen

Wie Illumio Zero Trust Segmentation helfen kann

Die CISA-Warnung listet mehrere Best-Practice-Schritte auf, die Unternehmen ergreifen können, um die Auswirkungen eines Angriffs zu mildern. Diese reichen von der starken Passwortverwaltung und Multi-Faktor-Authentifizierung über das Patch-Management bis hin zur Implementierung des Zugriffs auf Netzwerkressourcen mit den geringsten Berechtigungen.

Eine der wichtigsten Empfehlungen ist jedoch die Implementierung einer Segmentierung, um die Fähigkeit von Ransomware einzuschränken , sich frei im Netzwerk zu bewegen:

“Segment-Netzwerke um die Ausbreitung von Ransomware zu verhindern. Die Netzwerksegmentierung kann dazu beitragen, die Ausbreitung von Ransomware zu verhindern, indem sie den Datenverkehr zwischen und den Zugriff auf verschiedene Subnetzwerke kontrolliert und die laterale Bewegung von Angreifern einschränkt."

Hier kommt Illumio ins Spiel. Tatsächlich gehen wir mit einem Zero-Trust-Segmentierungsansatz , der von den führenden Analystenhäusern Forrester und Gartner empfohlen wird, über die traditionelle Netzwerksegmentierung hinaus.

Illumio stoppt Ransomware mit einem einfachen dreistufigen Ansatz:

1. Gewinnen Sie risikobasierte Transparenz: Illumio bildet automatisch die Kommunikation und Abhängigkeiten über alle Workloads, Rechenzentren und Public Clouds hinweg ab.
2. Risiko bewerten: Illumio hebt die am stärksten gefährdeten Unternehmensanwendungen und -systeme hervor.
3. Ransomware eindämmen: Wir nutzen diese Erkenntnisse, um riskante Pfade und Ports, wie z. B. SMB, zu sperren, die zur Erleichterung der lateralen Bewegung verwendet werden können.

Wenn Sie diese Schritte befolgen, kann Illumio Ransomware-Bedrohungsakteure wie BlackMatter proaktiv einschränken, bevor sie ernsthaften Schaden anrichten können, während sie kritische Assets isolieren. Die Richtliniengenerierung wird durch automatisierte Prozesse vereinfacht, die optimierte Segmentierungsrichtlinien für jede Art von Workload (Bare-Metal, virtuelle Maschinen, Container) vorschlagen. Wir können sogar einen Notfall-Lockdown-Switch vorfertigen, der im Falle eines Verstoßes aktiviert wird, um bestimmte Netzwerkkommunikation zu blockieren.

Kein Unternehmen kann heute mit Zuversicht behaupten, dass es zu 100 Prozent sicher vor Sicherheitsverletzungen ist. Aber mit Illumio haben Sie die Technologie, um Bedrohungsakteure zu stoppen, bevor sie irreparablen Schaden anrichten können.

Um mehr zu erfahren, kontaktieren Sie uns noch heute.