Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Cómo detener los ataques de Clop Ransomware con Illumio

Ron Isaacson
Director sénior, arquitectura empresarial
Illumio Editorial
21de enero de 2022
23 min. leer

El panorama del ransomware es un espacio complejo y volátil. Las variantes van y vienen, los desarrolladores se prestan y se roban unos a otros, y los afiliados agregan sus propias personalizaciones a medida. Esto puede dificultar saber con quién o con qué está tratando exactamente cuando ocurre una infracción. También puede hacer que dos ataques separados del mismo colectivo sean potencialmente muy diferentes entre sí.

A pesar de toda esta complejidad y cambio, uno permanente en los últimos años fue el grupo Clop. Comprometió a organizaciones tan diversas como bufetes de abogados globales y fabricantes de aviones, acumulando cientos de millones de dólares en el proceso.

Afortunadamente para los clientes de Illumio, podemos evitar que los ataques de Clop se conviertan en desastres cibernéticos. Todo se reduce a comprender cómo los activos críticos de la red se comunican entre sí y luego bloquear las conexiones no esenciales a escala.

¿De qué se trata Clop?

Clop es uno de los grupos de ransomware más ricos que existen. Los reportes dicen que los lavadores de dinero relacionados con el equipo trataron de ocultar al menos 500 millones de dólares. La cifra real de ingresos por ransomware seguramente será mucho mayor. El malware apareció por primera vez en 2019, una variante de una cepa anterior conocida como CryptoMix. En los años siguientes, se puso a trabajar para sectores tan diversos como el transporte y la logística, la educación, la fabricación, la atención médica y el comercio minorista.

Clop se asoció con múltiples vectores de acceso inicial en el pasado, desde ataques directos de phishing hasta exploits de día cero dirigidos a un solo proveedor de software de transferencia de archivos. Esta última técnica, muy inusual en el espacio del ransomware, le valió al grupo notoriedad global y muchas víctimas corporativas.

Un hilo común que une la mayoría de estos ataques es el de la "doble extorsión". Ahora es común entre los actores de ransomware, pero fue popularizado por grupos como Clop. En un ataque de este tipo, las organizaciones víctimas no solo encuentran cifrados sus datos y sistemas más confidenciales, sino que también pueden sufrir una grave violación de datos. Efectivamente aumenta las apuestas para las víctimas corporativas. Es posible que tenga copias de seguridad de los datos cifrados. Pero si los malos robaron IP confidencial o datos de clientes altamente regulados, eso cambiará significativamente cualquier cálculo de riesgo.

¿Cómo funciona Clop?

Si bien hay mucha variación en los ataques Clop, un patrón particular es instructivo en el modus operandi de los afiliados. Aprovecha los sistemas de Active Directory (AD) mal configurados para comprometer esas cuentas de AD con privilegios de dominio. Esto proporciona a los atacantes las llaves del reino, lo que les permite:

  • Ejecute comandos remotos como scripts WMI y PowerShell en el punto de conexión en peligro y en cualquier otro sistema conectado a él a través de AD.
  • Mantenga la persistencia en un sistema comprometido creando nuevas cuentas o creando/modificando procesos del sistema. Los actores de amenazas también podrían ejecutar comandos o inicializar scripts automáticamente al arrancar o iniciar sesión, en cualquier activo de red conectado a través de AD.

Con estas herramientas en su arsenal, los atacantes de Clop pueden mover con bastante facilidad a través de organizaciones comprometidas, implementando el ransomware y encontrando y exfiltrando datos confidenciales. Deben conectarse a la Internet pública para hacerlo, con el fin de descargar herramientas adicionales y cargar los datos robados.

Cómo detener Clop

En este escenario, neutralizar la amenaza Clop requiere que los equipos de seguridad obtengan información detallada sobre cómo funciona su configuración de AD. Al eliminar el acceso con privilegios de dominio de las cuentas que no lo necesitan, es decir, hacer cumplir los principios de "privilegios mínimos", pueden reducir significativamente la superficie de ataque . A continuación, restrinja las vías comunes que un ataque de este tipo podría explotar, incluidas WinRM, NetBIOS y SMB.

Cómo puede ayudar Illumio

Illumio ayuda a algunas de las organizaciones más grandes del mundo a frustrar los ataques de Clop y cualquier otro grupo de ransomware. Para ello, proporcionamos una gestión de políticas optimizada y escalable para ayudar a aplicar la segmentación de Zero Trust.

Con Illumio, puede comprender en tiempo real cómo los activos de red se comunican entre sí y con la Internet pública. Luego, puede tomar decisiones estratégicas sobre qué caminos mantener abiertos y cuáles bloquear, reduciendo la superficie de ataque y dejando a los malos sin buenas opciones.

En resumen, Illumio puede ayudar a detener el ransomware Clop al:

  • Asignación de todas las instancias y conexiones de Active Directory
  • Identificación de conexiones entrantes / salientes esenciales
  • Implementación rápida de políticas para restringir las comunicaciones no esenciales a escala y monitorear cualquier vía que se dejó abierta

Como la mayoría de los grupos, Clop es resistente. Apenas unos días después de que una importante represión policial condujera a arrestos, volvió a comprometer a las víctimas. La única forma de abordar este tipo de persistencia es con la sofisticada segmentación Zero Trust de Illumio.

Para leer más sobre cómo Illumio ayuda a contener los ataques de ransomware, contáctenos hoy.

Temas relacionados

Ransomware Containment

Artículos relacionados

Defensa contra el ransomware Conti: por qué CISA recomienda urgentemente la microsegmentación
Ransomware Containment

Defensa contra el ransomware Conti: por qué CISA recomienda urgentemente la microsegmentación

Descubra los riesgos a los que se enfrentan las organizaciones por el ransomware Conti y cómo Illumio Zero Trust Segmentation puede ayudar a defender de estos ataques.

Read more
Desmitificando las técnicas de ransomware mediante ensamblajes .Net: un ataque de varias etapas
Ransomware Containment

Desmitificando las técnicas de ransomware mediante ensamblajes .Net: un ataque de varias etapas

Aprenda los fundamentos de un ataque de carga útil de varias etapas empleando un conjunto de cargas útiles por etapas.

Read more
Qué hacer en un incidente cibernético: respuesta técnica
Ransomware Containment

Qué hacer en un incidente cibernético: respuesta técnica

Aprenda los pasos técnicos inmediatos para contener un incidente cibernético. Desde aislar al paciente cero hasta recopilar evidencia forense y prevenir la propagación lateral.

Read more
9 razones para usar Illumio para la contención de ransomware
Ransomware Containment

9 razones para usar Illumio para la contención de ransomware

Descubra cómo la visibilidad en tiempo real y los controles simples de Illumio reducirán rápidamente sus mayores fuentes de riesgos de ransomware, como los puertos RDP no empleados.

Read more
Cómo contener los ataques de LockBit Ransomware con Illumio
Ransomware Containment

Cómo contener los ataques de LockBit Ransomware con Illumio

Descubra cómo funciona el ransomware LockBit y cómo Illumio Zero Trust Segmentation contuvo un ataque de ransomware LockBit en el verano de 2022.

Read more

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more