Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

So stoppen Sie die Clop Ransomware-Angriffe mit Illumio

Ron Isaacson
Sr. Director, Unternehmensarchitektur
Illumio Editorial
Januar 21, 2022
23 min. lesen

Die Ransomware-Landschaft ist ein komplexer, volatiler Raum. Varianten kommen und gehen, Entwickler leihen und stehlen voneinander, und Affiliates fügen ihre eigenen maßgeschneiderten Anpassungen hinzu. Dies kann es schwierig machen, zu wissen, mit wem oder was genau Sie es zu tun haben, wenn es zu einer Sicherheitsverletzung kommt. Es kann auch dazu führen, dass sich zwei separate Angriffe aus dem nominell gleichen Kollektiv potenziell sehr voneinander unterscheiden.

Trotz all dieser Komplexität und des Wandels war die Clop-Gruppe in den letzten Jahren eine feste Größe. Es hat so unterschiedliche Organisationen wie globale Anwaltskanzleien und Flugzeughersteller kompromittiert und dabei Hunderte von Millionen Dollar angehäuft.

Zum Glück für Illumio-Kunden können wir verhindern, dass sich Clop-Angriffe zu Cyber-Katastrophen entwickeln. Es geht darum, zu verstehen , wie kritische Netzwerkressourcen miteinander kommunizieren, und dann nicht wesentliche Verbindungen in großem Umfang zu blockieren.

Was hat es mit Clop auf sich?

Clop ist eine der wohlhabendsten Ransomware-Gruppen überhaupt. Berichten zufolge haben Geldwäscher, die mit dem Unternehmen in Verbindung stehen, versucht, mindestens 500 Millionen Dollar zu verbergen. Die tatsächliche Zahl der Einnahmen aus Ransomware wird mit Sicherheit viel höher sein. Die Malware tauchte erstmals 2019 auf, eine Variante eines früheren Stammes, der als CryptoMix bekannt ist. In den folgenden Jahren konzentrierte sich das Unternehmen auf so unterschiedliche Branchen wie Transport und Logistik, Bildung, Fertigung, Gesundheitswesen und Einzelhandel.

Clop wurde in der Vergangenheit mit mehreren Erstzugriffsvektoren in Verbindung gebracht – von direkten Phishing-Angriffen bis hin zu Zero-Day-Exploits , die auf einen einzelnen Anbieter von Dateiübertragungssoftware abzielen. Die letztgenannte Technik, die im Bereich der Ransomware höchst ungewöhnlich ist, brachte der Gruppe weltweite Berühmtheit und viele Unternehmensopfer ein.

Ein gemeinsamer Faden, der die meisten dieser Angriffe verbindet, ist der der "doppelten Erpressung". Heute ist es unter Ransomware-Akteuren alltäglich und wurde von Gruppen wie Clop populär gemacht. Bei einem solchen Angriff werden die sensibelsten Daten und Systeme der betroffenen Unternehmen nicht nur verschlüsselt, sondern es kann auch zu einer schwerwiegenden Datenschutzverletzung kommen. Es erhöht effektiv den Einsatz für die Opfer von Unternehmen. Möglicherweise verfügen Sie über Backups für die verschlüsselten Daten. Aber wenn die Kriminellen sensibles geistiges Eigentum oder stark regulierte Kundendaten gestohlen haben, wird das jede Risikoberechnung erheblich verändern.

Wie funktioniert Clop?

Während es viele Variationen bei Clop-Angriffen gibt, ist ein bestimmtes Muster im Modus Operandi von Affiliates aufschlussreich. Es nutzt falsch konfigurierte Active Directory (AD)-Systeme aus, um AD-Konten mit Domänenrechten zu kompromittieren. Auf diese Weise erhalten Angreifer die Schlüssel zum Königreich und können Folgendes:

  • Führen Sie Remotebefehle wie WMI- und PowerShell-Skripte auf dem kompromittierten Endpunkt und allen anderen Systemen aus, die über AD mit ihm verbunden sind.
  • Bewahren Sie die Persistenz auf einem kompromittierten System, indem Sie neue Konten erstellen oder Systemprozesse erstellen/ändern. Bedrohungsakteure können auch Befehle ausführen oder Skripte automatisch beim Hochfahren oder Anmelden initialisieren – auf jedem Netzwerkgerät, das über AD verbunden ist.

Mit diesen Tools in ihrem Arsenal können sich Clop-Angreifer relativ leicht durch kompromittierte Organisationen bewegen, die Ransomware einsetzen und sensible Daten finden und exfiltrieren. Dazu müssen sie sich mit dem öffentlichen Internet verbinden, um zusätzliche Tools herunterzuladen und die gestohlenen Daten hochzuladen.

Wie man Clop stoppt

In diesem Szenario erfordert die Neutralisierung der Clop-Bedrohung, dass Sicherheitsteams einen detaillierten Einblick in die Funktionsweise ihres AD-Setups erhalten. Durch das Entfernen des Zugriffs auf Domain-Privilegien von Konten, die ihn nicht benötigen – d. h. durch die Durchsetzung von "Least-Privilege"-Prinzipien – können sie die Angriffsfläche erheblich reduzieren. Schränken Sie als Nächstes die allgemeinen Pfade ein, die bei einem solchen Angriff ausgenutzt werden können, einschließlich WinRM, NetBIOS und SMB.

Wie Illumio helfen kann

Illumio hilft einigen der weltweit größten Unternehmen , Angriffe von Clop und anderen Ransomware-Gruppen zu vereiteln. Wir tun dies, indem wir ein optimiertes, skalierbares Richtlinienmanagement bereitstellen, um die Zero-Trust-Segmentierung durchzusetzen.

Mit Illumio können Sie in Echtzeit nachvollziehen, wie Netzwerkressourcen miteinander und mit dem öffentlichen Internet kommunizieren. Dann können Sie strategische Entscheidungen darüber treffen, welche Wege offen gehalten und welche blockiert werden sollen – so wird die Angriffsfläche reduziert und den Bösewichten keine gute Wahl gelassen.

Kurz gesagt, Illumio kann helfen, Clop Ransomware zu stoppen, indem es:

  • Zuordnen aller Active Directory-Instanzen und -Verbindungen
  • Identifizierung wesentlicher eingehender/ausgehender Verbindungen
  • Schnelle Bereitstellung von Richtlinien, um nicht wesentliche Kommunikation in großem Umfang einzuschränken und alle offen gelassenen Pfade zu überwachen

Wie die meisten Gruppen ist auch Clop widerstandsfähig. Nur wenige Tage, nachdem eine große Razzia der Strafverfolgungsbehörden zu Verhaftungen geführt hatte, war die Situation wieder da und die Opfer wurden kompromittiert. Die einzige Möglichkeit, diese Art von Persistenz in den Griff zu bekommen, ist die ausgeklügelte Zero-Trust-Segmentierung von Illumio.

Um mehr darüber zu erfahren, wie Illumio zur Eindämmung von Ransomware-Angriffen beiträgt, kontaktieren Sie uns noch heute.

Verwandte Themen

Ransomware Containment

Verwandte Artikel

Abwehr von Conti-Ransomware: Warum CISA dringend Mikrosegmentierung empfiehlt
Ransomware Containment

Abwehr von Conti-Ransomware: Warum CISA dringend Mikrosegmentierung empfiehlt

Erfahren Sie, welchen Risiken Unternehmen durch Conti-Ransomware ausgesetzt sind und wie Illumio Zero Trust Segmentation zur Abwehr dieser Angriffe beitragen kann.

Read more
Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: Ein mehrstufiger Angriff
Ransomware Containment

Entmystifizierung von Ransomware-Techniken mit .NET-Assemblies: Ein mehrstufiger Angriff

Lernen Sie die Grundlagen eines mehrstufigen Payload-Angriffs mit einer Reihe von gestaffelten Payloads kennen.

Read more
Was ist bei einem Cybervorfall zu tun: Technische Reaktion
Ransomware Containment

Was ist bei einem Cybervorfall zu tun: Technische Reaktion

Lernen Sie sofortige, technische Schritte zur Eindämmung eines Cybervorfalls kennen. Von der Isolierung von Patient Null über das Sammeln forensischer Beweise bis hin zur Verhinderung einer lateralen Ausbreitung.

Read more
9 Gründe, Illumio zur Eindämmung von Ransomware zu verwenden
Ransomware Containment

9 Gründe, Illumio zur Eindämmung von Ransomware zu verwenden

Erfahren Sie, wie die Echtzeit-Transparenz und die einfachen Kontrollen von Illumio Ihre größten Quellen von Ransomware-Risiken, wie z. B. ungenutzte RDP-Ports, schnell reduzieren können.

Read more
So dämmen Sie LockBit-Ransomware-Angriffe mit Illumio ein
Ransomware Containment

So dämmen Sie LockBit-Ransomware-Angriffe mit Illumio ein

Erfahren Sie, wie LockBit-Ransomware funktioniert und wie Illumio Zero Trust Segmentation im Sommer 2022 einen LockBit-Ransomware-Angriff eindämmte.

Read more

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more