Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

BlackMatter ランサムウェア: イルミオのゼロトラストセグメンテーションでリスクを軽減

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
10月 20日、 2021
23分読む

米国政府の安全保障に重点を置いたさまざまな機関は、最近ますます声を上げている。これは、推定68の個別の亜種が存在するランサムウェアの状況に直面している組織にとって朗報です。サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局(NSA)からの最新のアラートは、BlackMatterとして知られる比較的新しいランサムウェア・アズ・ア・サービス(RaaS)グループについて警告しています。

BlackMatterとは?

BlackMatter RaaS グループは 7 月に初めて登場し、数か月前に廃止された悪名高い DarkSide 事業と 関係があるのではない かという噂が飛び交いました。ダークサイドはコ ロニアル・パイプライン攻撃の責任を負っており、5月に東海岸の主要燃料パイプラインが数日間停止した。

アラートによると、BlackMatterは 、医療、政府、石油・ガス、その他の業種を避けると主張しているにもかかわらず、すでに米国の「複数の」重要インフラプロバイダーを標的にしている。これらのプロバイダーの1つであるNew Cooperativeは先月、590万ドルの身代金を支払われたが、BlackMatterの支払い要求額は1,500万ドルに達する可能性があるとCISAは主張している。

被害者の組織には、次のようなさまざまな潜在的な波及的なビジネスリスクがあります。

  • 修復、調査、クリーンアップの費用
  • 規制上の罰金
  • 風評被害と顧客離脱
  • 特に個人データが漏洩した場合の訴訟費用
  • 生産性への影響と運用停止
  • 売上の損失

BlackMatterはどのように動作しますか?

CISAアラートには、特定のBlackMatterサンプルのサンドボックス分析に基づいて、セキュリティチームが消化すべきものがたくさんあります。RaaS オペレーションとして、複数のグループが同じランサムウェアをわずかに異なる方法で使用してターゲットを攻撃する可能性があることを指摘することが重要です。

とはいえ、アラートで概説されている戦術、技術、手順(TTP)は次のように要約できます。

被害者のネットワークでの永続性 — 正規のリモート監視およびデスクトップツールを備えたトライアルアカウントを使用

資格情報へのアクセス — Microsoft のプロセス モニター (procmon) ツールを使用して、ローカル セキュリティ機関サブシステム サービス (LSASS) メモリから資格情報を収集します。

すべてのActive Directoryホストの検出 — (Lightweight Directory Access Protocol)LDAPおよびServer Message Block(SMB)プロトコルに埋め込まれた以前に侵害された資格情報を使用して

実行中のすべてのプロセスの列挙 - NtQuerySystemInformation を使用

ネットワーク上で実行中のすべてのサービスの列挙 - EnumServicesStatusExW を使用

横方向の移動 — 「srvsvc.NetShareEnumAll" Microsoft リモート プロシージャ コール (MSRPC) 関数を使用して、検出されたすべての共有を一覧表示し、SMB を使用してそれらに接続します

データ流出 — 二重恐喝のためにデータを盗むこと

暗号化 — SMB プロトコルを介した共有のリモート暗号化。BlackMatterはバックアップシステムを消去することもあります

イルミオゼロトラストセグメンテーションがどのように役立つか

CISAアラートには、攻撃の影響を軽減するために組織が実行できる複数のベストプラクティス手順がリストされています。これらは、強力なパスワード管理や多要素認証から、パッチ管理やネットワークリソースへの最小権限アクセスの実装まで多岐にわたります。

ただし、最も重要な推奨事項の 1 つは、 セグメンテーションを実装して、ランサムウェアが ネットワーク上を自由に移動する能力を制限することです。

セグメントネットワーク ランサムウェアの拡散を防ぐため。ネットワークセグメンテーションは、さまざまなサブネットワーク間のトラフィックフローとアクセスを制御し、敵対者のラテラルムーブメントを制限することで、ランサムウェアの拡散を防ぐのに役立ちます。」

ここでイルミオが活躍します。実際、当社は従来のネットワークセグメンテーションを超えて、大手アナリスト企業である ForresterGartner が推奨する ゼロトラストセグメンテーション アプローチを採用しています。

イルミオは、シンプルな3ステップのアプローチで ランサムウェアを阻止 します。

  1. リスクベースの可視性の獲得: イルミオは、すべてのワークロード、データセンター、パブリッククラウドにわたる通信と依存関係を自動的にマッピングします。
  2. リスクの評価:イルミオは、最もリスクの高い企業アプリケーションとシステムを強調しています。
  3. ランサムウェアを含む:この洞察を使用して、ラテラルムーブメントを促進するために使用される可能性のある SMBなどの危険な経路やポートをロックダウンします。

これらの手順に従うことで、イルミオは、重要な資産を隔離しながら、重大な損害を引き起こす前に、BlackMatterのようなランサムウェアの脅威アクターを積極的に制限することができます。ポリシーの生成 は、あらゆるタイプのワークロード(ベアメタル、仮想マシン、コンテナ)に対して最適化されたセグメンテーションポリシーを提案する自動化されたプロセスによって簡素化されます。特定のネットワーク通信をブロックするために、侵害が発生した場合に作動する緊急ロックダウンスイッチを事前に構築することもできます。

今日、100%侵害防止であると自信を持って主張できる組織はありません。しかし、イルミオを使用すると、脅威アクターが取り返しのつかない損害を引き起こす前に阻止するテクノロジーがあります。

詳細については、今すぐ お問い合わせください

関連トピック

Ransomware Containment

関連記事

.Net アセンブリを使用したランサムウェア手法の謎を解き明かす: EXE vs. DLL アセンブリ
Ransomware Containment

.Net アセンブリを使用したランサムウェア手法の謎を解き明かす: EXE vs. DLL アセンブリ

.Net アセンブリ (EXE vs. DLL) の主な違いと、最初の高レベル コードでの実行方法について説明します。

Read more
S&P Global:重要インフラのランサムウェアの脅威に対処するためのトップ3の方法
Ransomware Containment

S&P Global:重要インフラのランサムウェアの脅威に対処するためのトップ3の方法

イルミオのソリューションマーケティングディレクターであるトレバー・ディアリング氏と、S&Pグローバルのグローバルマーケットインテリジェンスチーフアナリストであるエリック・ハンセルマン氏は、ランサムウェアの懸念に対処します。

Read more
ランサムウェア:中小企業がその拡散を阻止する方法
Ransomware Containment

ランサムウェア:中小企業がその拡散を阻止する方法

ゼロトラストセグメンテーションが、中小規模の組織がトラフィックフローを視覚化し、経路を閉鎖し、ランサムウェアの横方向の拡散を阻止するのにどのように役立つかをご覧ください。

Read more
IllumioでLockBitランサムウェア攻撃を封じ込める方法
Ransomware Containment

IllumioでLockBitランサムウェア攻撃を封じ込める方法

LockBitランサムウェアがどのように動作し、2022年夏にIllumio Zero Trust SegmentationがLockBitランサムウェア攻撃をどのように封じ込めたかをご覧ください。

Read more
ランサムウェアから保護するための 4 つの基本原則
Ransomware Containment

ランサムウェアから保護するための 4 つの基本原則

これら 4 つの基本原則を遵守して実装することは、ランサムウェアから防御する方法に関して組織を保護するのに役立ちます。続きを読む。

Read more

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more