Comment stopper les attaques du ransomware Clop avec Illumio

Le paysage des ransomwares est un espace complexe et volatile. Les variantes vont et viennent, les développeurs s'empruntent et se volent les uns les autres, et les affiliés ajoutent leurs propres personnalisations. Il peut donc être difficile de savoir à qui ou à quoi vous avez affaire en cas de violation. Elle peut également rendre deux attaques distinctes provenant nominalement du même collectif potentiellement très différentes l'une de l'autre.

En dépit de cette complexité et de ces changements, le groupe Clop s'est imposé ces dernières années. Elle a compromis des organisations aussi diverses que des cabinets d'avocats internationaux et des constructeurs d'avions, en accumulant des centaines de millions de dollars dans le processus.

Heureusement pour les clients d'Illumio, nous pouvons empêcher les attaques Clop de se transformer en cyber-catastrophes. Il s'agit de comprendre comment les actifs critiques du réseau communiquent entre eux et de bloquer les connexions non essentielles à grande échelle.

Qu'est-ce que Clop ?

Clop est l'un des groupes de ransomware les plus riches. Selon certains rapports, des blanchisseurs d'argent liés à cette organisation auraient tenté de dissimuler au moins 500 millions de dollars. Le chiffre réel des revenus générés par les ransomwares est certainement beaucoup plus élevé. Le logiciel malveillant est apparu pour la première fois en 2019, en tant que variante d'une souche précédente connue sous le nom de CryptoMix. Au cours des années suivantes, elle a été mise au service de secteurs aussi divers que le transport et la logistique, l'éducation, l'industrie manufacturière, les soins de santé et le commerce de détail.

Par le passé, Clop a été associé à de multiples vecteurs d'accès initiaux - des attaques directes par hameçonnage aux exploits de type "zero-day" ciblant un seul fournisseur de logiciel de transfert de fichiers. Cette dernière technique, très inhabituelle dans le domaine des ransomwares, a valu au groupe une notoriété mondiale et de nombreuses victimes parmi les entreprises.

Le fil conducteur de la plupart de ces attaques est la double extorsion "." Désormais courante chez les acteurs du ransomware, elle a été popularisée par des groupes tels que Clop. Lors d'une telle attaque, les organisations victimes voient non seulement leurs données et systèmes les plus sensibles cryptés, mais elles peuvent également subir une grave violation de données. Elle augmente effectivement les enjeux pour les entreprises victimes. Vous pouvez avoir des sauvegardes des données cryptées. Mais si les malfaiteurs ont volé des données sensibles sur la propriété intellectuelle ou des données clients hautement réglementées, le calcul du risque s'en trouvera considérablement modifié.

Comment fonctionne Clop ?

Bien que les attaques de Clop soient très variées, un modèle particulier est instructif quant au modus operandi des affiliés. Il exploite les systèmes Active Directory (AD) mal configurés pour compromettre les comptes AD dotés de privilèges de domaine. Les attaquants disposent ainsi des clés du royaume, ce qui leur permet de.. :

• Exécuter des commandes à distance, telles que des scripts WMI et PowerShell, sur le point de terminaison compromis et sur tout autre système connecté à celui-ci via AD.
• Maintenir la persistance d'un système compromis en créant de nouveaux comptes ou en créant/modifiant les processus du système. Les acteurs de la menace pourraient également exécuter des commandes ou initialiser des scripts automatiquement au démarrage ou à l'ouverture de session - sur n'importe quel équipement en réseau connecté via AD.

Avec ces outils dans leur arsenal, les attaquants de Clop peuvent se déplacer assez facilement dans les organisations compromises, déployer le ransomware et trouver et exfiltrer des données sensibles. Pour ce faire, ils doivent se connecter à l'internet public afin de télécharger des outils supplémentaires et de mettre en ligne les données volées.

Comment arrêter Clop

Dans ce scénario, la neutralisation de la menace Clop exige des équipes de sécurité qu'elles acquièrent une connaissance granulaire du fonctionnement de leur configuration AD. En supprimant l'accès aux privilèges du domaine pour les comptes qui n'en ont pas besoin - c'est-à-dire en appliquant les principes du "moindre privilège" - ils peuvent réduire considérablement la surface d'attaque. Ensuite, restreignez les voies communes qu'une telle attaque pourrait chercher à exploiter, notamment WinRM, NetBIOS et SMB.

Comment Illumio peut vous aider

Illumio aide certaines des plus grandes organisations du monde à contrecarrer les attaques de Clop et de tout autre groupe de ransomware. Pour ce faire, nous proposons une gestion rationalisée et évolutive des politiques afin d'aider à mettre en œuvre la segmentation Zero Trust.

Avec Illumio, vous pouvez comprendre en temps réel comment les actifs du réseau communiquent entre eux et avec l'Internet public. Vous pouvez ensuite prendre des décisions stratégiques concernant les voies à laisser ouvertes et celles à bloquer, ce qui réduit la surface d'attaque et ne laisse aucune option aux malfaiteurs.

En bref, Illumio peut vous aider à stopper le ransomware Clop :

• Cartographie de toutes les instances et connexions Active Directory
• Identifier les connexions entrantes et sortantes essentielles
• Déploiement rapide d'une politique visant à restreindre les communications non essentielles à grande échelle et à surveiller les voies d'accès laissées ouvertes.

Comme la plupart des groupes, le Clop est résistant. Quelques jours à peine après qu'une vaste opération de répression ait abouti à des arrestations, le réseau s'est remis à fonctionner et à compromettre les victimes. La seule façon de s'attaquer à ce type de persistance est d'utiliser la segmentation sophistiquée Zero Trust d'Illumio.

Pour en savoir plus sur la façon dont Illumio aide à contenir les attaques de ransomware, contactez-nous dès aujourd'hui.