.png)
BlackMatter Ransomware: Mitigue el riesgo con la segmentación de Illumio Zero Trust
Las diversas agencias centradas en la seguridad del gobierno de Estados Unidos se volvieron cada vez más vocales últimamente. Esas son buenas noticias para las organizaciones que se enfrentan a un panorama de ransomware poblado por aproximadamente 68 variantes discretas. La última alerta de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) advierte sobre un grupo de ransomware como servicio (RaaS) relativamente nuevo conocido como BlackMatter.
¿Qué es BlackMatter?
El grupo BlackMatter RaaS irrumpió por primera vez en la escena en julio, con rumores de que podría tener vínculos con la infame operación DarkSide que se retiró un par de meses antes. DarkSide fue responsable del ataque al oleoducto Colonial, que provocó el cierre del principal oleoducto de combustible de la costa este durante varios días en mayo.
Según la alerta, BlackMatter ya se dirigió a "múltiples" proveedores de infraestructura crítica de EE. UU., A pesar de afirmar que evita la atención médica, el gobierno, el petróleo y el gas y otras verticales. Uno de estos proveedores, New Cooperative, recibió un rescate de 5,9 millones de dólares el mes pasado, aunque las demandas de pago de BlackMatter pueden alcanzar los 15 millones de dólares, afirma CISA.
Para las organizaciones víctimas, existe una variedad de posibles riesgos comerciales en cadena, que incluyen:
- Costos de remediación, investigación y limpieza
- Multas reglamentarias
- Daño a la reputación y deserción de clientes
- Costos legales, especialmente si se filtran datos personales
- Impacto en la productividad e interrupciones operativas
- Ventas perdidas
¿Cómo funciona BlackMatter?
La alerta CISA tiene mucho que digerir para los equipos de seguridad, según el análisis de sandbox de una muestra específica de BlackMatter. Es importante señalar que, como operación RaaS, varios grupos podrían usar el mismo ransomware de formas ligeramente diferentes para atacar a sus objetivos.
Dicho esto, las tácticas, técnicas y procedimientos (TTP) descritos por la alerta se pueden resumir como:
Persistencia en las redes de las víctimas : uso de cuentas de prueba con herramientas legítimas de monitoreo remoto y escritorio
Acceso a credenciales : recopilación de credenciales de la memoria del servicio de subsistema de autoridad de seguridad local (LSASS) mediante la herramienta Process Monitor (procmon) de Microsoft
Detección de todos los hosts de Active Directory : empleando credenciales previamente comprometidas incrustadas en el protocolo LDAP (Lightweight Directory Access Protocol) y Server Message Block (SMB)
Enumeración de todos los procesos en ejecución : mediante NtQuerySystemInformation
Enumeración de todos los servicios en ejecución en la red : mediante EnumServicesStatusExW
Movimiento lateral: usando el comando "srvsvc. NetShareEnumAll" Función de llamada a procedimiento remoto de Microsoft (MSRPC) para enumerar todos los recursos compartidos detectados y, a continuación, SMB para conectarse a ellos
Exfiltración de datos : para robar datos para una doble extorsión
Cifrado : cifrado remoto de recursos compartidos a través del protocolo SMB. BlackMatter también puede borrar los sistemas de copia de seguridad
Cómo puede ayudar la segmentación de confianza cero de Illumio
La alerta CISA enumera varios pasos de mejores prácticas que las organizaciones pueden tomar para mitigar el impacto de un ataque. Estos van desde una estable gestión de contraseñas y autenticación multifactor hasta la gestión de parches y la implementación de acceso con privilegios mínimos a los recursos de red.
Sin embargo, una de las recomendaciones más importantes es implementar la segmentación para restringir la capacidad del ransomware para mover libremente por la red:
“Redes de segmentos para evitar la propagación de ransomware. La segmentación de la red puede ayudar a prevenir la propagación del ransomware al controlar los flujos de tráfico entre varias subredes y el acceso a ellas y al restringir el movimiento lateral del adversario".
Aquí es donde Illumio entra en juego. De hecho, vamos más allá de la segmentación de red tradicional con un enfoque de segmentación Zero Trust recomendado por las principales firmas de analistas Forrester y Gartner.
Illumio detiene el ransomware en seco con un enfoque simple de tres pasos:
- Obtenga visibilidad basada en el riesgo: Illumio mapea automáticamente las comunicaciones y las dependencias en todas las cargas de trabajo, centros de datos y nubes públicas.
- Evaluar el riesgo: Illumio destaca las aplicaciones y sistemas corporativos con mayor riesgo.
- Contener ransomware: Empleamos esta información para bloquear cualquier vía y puerto de riesgo, como SMB, que pueda usar para facilitar el movimiento lateral.
Siguiendo estos pasos, Illumio puede restringir de forma proactiva a los actores de amenazas de ransomware como BlackMatter antes de que puedan causar daños graves mientras aíslan los activos críticos. La generación de políticas se simplifica a través de procesos automatizados que sugieren políticas de segmentación optimizadas para cualquier tipo de carga de trabajo (bare-metal, máquinas virtuales, contenedores). Incluso podemos preconstruir un interruptor de bloqueo de emergencia para activarlo en caso de una violación para bloquear comunicaciones de red específicas.
Ninguna organización puede afirmar con confianza que es 100 por ciento a prueba de infracciones hoy en día. Pero con Illumio, tiene la tecnología para detener a los actores de amenazas antes de que puedan causar un daño irreparable.
Para obtener más información, contáctenos hoy.
