BlackMatter Ransomware : Réduisez les risques avec la segmentation Illumio Zero Trust

Les diverses agences du gouvernement américain chargées de la sécurité se font de plus en plus entendre ces derniers temps. C'est une bonne nouvelle pour les organisations confrontées à un paysage de ransomware peuplé d'environ 68 variantes discrètes. La dernière alerte de la Cybersecurity and Infrastructure Security Agency (CISA), du Federal Bureau of Investigation (FBI) et de la National Security Agency (NSA) met en garde contre un groupe de ransomware-as-a-service (RaaS) relativement nouveau, connu sous le nom de BlackMatter.

Qu'est-ce que BlackMatter ?

Le groupe BlackMatter RaaS est apparu pour la première fois sur la scène en juillet, et des rumeurs ont circulé sur le fait qu'il pourrait avoir des liens avec la tristement célèbre opération DarkSide qui s'était retirée quelques mois plus tôt. DarkSide est à l'origine de l'attaque de Colonial Pipeline, qui a entraîné la fermeture du principal pipeline de carburant de la côte Est pendant plusieurs jours en mai.

Selon l'alerte, BlackMatter a déjà ciblé "plusieurs" fournisseurs américains d'infrastructures critiques, bien qu'il prétende éviter les secteurs de la santé, de l'administration publique, du pétrole et du gaz et d'autres secteurs verticaux. L'un de ces fournisseurs, New Cooperative, a reçu une rançon de 5,9 millions de dollars le mois dernier, bien que les demandes de paiement de BlackMatter puissent atteindre 15 millions de dollars, selon la CISA.

Pour les organisations victimes, il existe toute une série de risques commerciaux potentiels, notamment

• Frais d'assainissement, d'enquête et de nettoyage
• Amendes réglementaires
• Atteinte à la réputation et attrition de la clientèle
• Frais de justice, notamment en cas de fuite de données à caractère personnel
• Impact sur la productivité et arrêts d'exploitation
• Ventes perdues

Comment fonctionne BlackMatter ?

L'alerte CISA, basée sur l'analyse en bac à sable d'un échantillon spécifique de BlackMatter, a de quoi faire réfléchir les équipes de sécurité. Il est important de souligner que, dans le cadre d'une opération RaaS, plusieurs groupes pourraient utiliser le même ransomware de manière légèrement différente pour attaquer leurs cibles.

Cela dit, les tactiques, techniques et procédures (TTP) décrites dans l'alerte peuvent être résumées comme suit :

Persistance sur les réseaux des victimes - utilisation de comptes d'essai avec des outils légitimes de surveillance à distance et de bureau.

Accès aux informations d'identification - collecte d'informations d'identification dans la mémoire du service LSASS (Local Security Authority Subsystem Service) à l'aide de l'outil Process Monitor (procmon) de Microsoft.

Découverte de tous les hôtes Active Directory - à l'aide d'informations d'identification compromises précédemment et intégrées dans le protocole LDAP (Lightweight Directory Access Protocol) et le protocole SMB (Server Message Block).

Enumération de tous les processus en cours - à l'aide de NtQuerySystemInformation

Enumérationde tous les services en cours d'exécution sur le réseau - à l'aide de EnumServicesStatusExW

Mouvement latéral - utilisation de la fonction Microsoft Remote Procedure Call (MSRPC) "srvsvc.NetShareEnumAll" pour dresser la liste de tous les partages découverts, puis du protocole SMB pour s'y connecter.

Exfiltration de données - pour voler des données en vue d'une double extorsion

Chiffrement - chiffrement à distance des partages via le protocole SMB. BlackMatter peut également effacer les systèmes de sauvegarde

Comment Illumio Zero Trust Segmentation peut vous aider

L'alerte CISA énumère de nombreuses bonnes pratiques que les organisations peuvent adopter pour atténuer l'impact d'une attaque. Cela va de la gestion de mots de passe forts et de l'authentification multifactorielle à la gestion des correctifs et à la mise en œuvre d'un accès aux ressources du réseau selon le principe du moindre privilège.

Toutefois, l'une des recommandations les plus importantes est de mettre en œuvre une segmentation afin de limiter la capacité des ransomwares à se déplacer librement sur le réseau :

«Réseaux sectoriels pour empêcher la propagation des ransomwares. La segmentation du réseau peut contribuer à empêcher la propagation des ransomwares en contrôlant les flux de trafic entre les différents sous-réseaux - et l'accès à ces derniers - et en limitant les mouvements latéraux des adversaires".

C'est là qu'Illumio prend tout son sens. En fait, nous allons au-delà de la segmentation traditionnelle du réseau avec une approche de segmentation "Zero Trust" recommandée par les principaux cabinets d'analystes Forrester et Gartner.

Illumio arrête les ransomwares dans leur élan grâce à une approche simple en trois étapes :

1. Obtenez une visibilité basée sur les risques : Illumio cartographie automatiquement les communications et les dépendances dans l'ensemble des charges de travail, des centres de données et des nuages publics.
2. Évaluez les risques : Illumio met en évidence les applications et les systèmes de l'entreprise les plus à risque.
3. Contenir les ransomwares : Nous utilisons ces informations pour verrouiller les voies et les ports à risque, tels que SMB, qui peuvent être utilisés pour faciliter les mouvements latéraux.

En suivant ces étapes, Illumio peut restreindre de façon proactive les acteurs de menaces de ransomware comme BlackMatter avant qu'ils ne causent de sérieux dommages tout en isolant les actifs critiques. La génération de politiques est simplifiée grâce à des processus automatisés qui suggèrent des politiques de segmentation optimisées pour tout type de charge de travail (bare-metal, machines virtuelles, conteneurs). Nous pouvons même pré-construire un interrupteur de verrouillage d'urgence à activer en cas de violation pour bloquer des communications réseau spécifiques.

Aujourd'hui, aucune organisation ne peut affirmer avec certitude qu'elle est à l'abri d'une violation à 100 %. Mais avec Illumio, vous disposez de la technologie nécessaire pour arrêter les acteurs de la menace avant qu'ils ne causent des dommages irréparables.

Pour en savoir plus, contactez-nous dès aujourd'hui.