Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

イルミオでClopランサムウェア攻撃を阻止する方法

ロン・アイザックソン
エンタープライズアーキテクチャ担当シニアディレクター
Illumio Editorial
1月 21日、 2022
23分読む

ランサムウェアの状況は複雑で不安定な空間です。バリエーションが現れたり消えたりし、開発者はお互いに借りたり盗んだりし、アフィリエイトは独自のオーダーメイドのカスタマイズを追加します。これにより、侵害が発生したときに、誰に、何を相手にしているのかを正確に把握することが困難になる可能性があります。また、名目上同じ集団からの2つの別々の攻撃を、互いに大きく異なる可能性があります。

このような複雑さと変化にもかかわらず、近年恒久的な存在の 1 つが Clop グループです。世界的な法律事務所や航空機メーカーなど、さまざまな組織が危険にさらされ、その過程で数億ドルが発生しました。

イルミオのお客様にとって幸いなことに、Clop攻撃がサイバー災害に発展するのを防ぐことができます。結局のところ、重要なネットワーク資産が相互にどのように通信するか を理解し 、重要でない接続を大規模にブロックします。

クロップとは何ですか?

Clop は、最も裕福なランサムウェア グループの 1 つです。報道によると 、この組織に関係するマネーロンダリング業者は少なくとも5億ドルを隠蔽しようとしたという。ランサムウェアからの実際の収益の数字は、はるかに高いことは間違いありません。このマルウェアは 2019 年に初めて登場し、CryptoMix として知られる以前の株の亜種です。その後数年間、輸送と物流、教育、製造、ヘルスケア、小売など、さまざまな分野をターゲットにするようになりました。

Clopは、直接的なフィッシング攻撃から、単一のファイル転送ソフトウェアプロバイダーを標的とした ゼロデイエクス プロイトまで、過去に複数の初期アクセスベクトルに関連付けられてきました。後者の手法は、ランサムウェアの分野では非常に珍しいものであり、 グループは世界的な悪名 を馳せ、多くの企業の犠牲者を獲得しました。

これらの攻撃のほとんどを結びつける共通点の 1 つは、「二重恐喝」です。現在ではランサムウェア攻撃者の間では一般的ですが、Clop などのグループによって普及しました。このような攻撃では、被害者の組織は、最も機密性の高いデータやシステムが暗号化されているだけでなく、重大な データ侵害に見舞われる可能性があります。これは事実上、企業の被害者の賭け金を高めることになります。暗号化されたデータのバックアップがある場合があります。しかし、悪者が機密性の高いIPや高度に規制された顧客データを盗んだ場合、リスクの計算は大幅に変更されます。

Clop はどのように機能しますか?

Clop 攻撃にはさまざまなバリエーションがありますが、1 つの特定のパターンがアフィリエイトの 手口 に有益です。誤って設定された Active Directory (AD) システムを悪用して、ドメイン権限を持つ AD アカウントを侵害します。これにより、攻撃者は王国への鍵を手に入れ、次のことが可能になります。

  • 侵害されたエンドポイントと、AD 経由で接続されているその他のシステムで、WMI や PowerShell スクリプトなどのリモート コマンドを実行します
  • 新しいアカウントを作成するか、システムプロセスを作成/変更することで、侵害されたシステムでの永続性を維持します。また、攻撃者は、AD経由で接続されたネットワーク資産の起動時またはログオン時に、自動的にコマンドを実行したり、スクリプトを初期化したりすることもできます。

これらのツールを武器庫に含めることで、Clop攻撃者は侵害された組織内をかなり簡単に移動し、 ランサムウェア を展開し、機密データを見つけて盗み出すことができます。追加のツールをダウンロードして盗んだデータをアップロードするには、パブリック インターネットに接続する必要があります。

クロップを止める方法

このシナリオでは、Clop の脅威を無力化するには、セキュリティ チームが AD セットアップがどのように機能するかについて詳細な洞察を得る必要があります。ドメイン権限アクセスを必要としないアカウントからドメイン権限アクセスを削除し、つまり「最小権限」の原則を適用することで、 攻撃対象領域 を大幅に減らすことができます。次に、 WinRMNetBIOSSMB など、このような攻撃が悪用しようとする可能性のある一般的な経路を制限します。

イルミオがどのように役立つか

イルミオは、世界最大級 の組織 がClopやその他のランサムウェアグループからの攻撃を阻止するのを支援しています。これは、 ゼロトラストセグメンテーションの実施を支援する合理化されたスケーラブルなポリシー管理を提供することで実現します。

イルミオを使用すると、ネットワーク資産が相互に通信し、パブリックインターネットにどのように通信するかをリアルタイムで理解できます。そうすれば、どの経路を開いたままにしておくべきか、どの経路をブロックするかについて戦略的な決定を下すことで、攻撃対象領域が減り、悪者に良い選択肢がなくなります。

つまり、イルミオは次の方法でClopランサムウェアを阻止するのに役立ちます。

  • すべての Active Directory インスタンスと接続のマッピング
  • 重要なインバウンド/アウトバウンド接続の特定
  • ポリシーを迅速に展開して、重要でない通信を大規模に制限し、開いたままになっている経路を監視します

ほとんどのグループと同様に、クロップは回復力があります。法執行機関の大規模な取り締まりにより逮捕者が出てからわずか数日後、事件が 再開し、被害者を危険にさらした。この種の永続性に取り組む唯一の方法は、イルミオの高度な ゼロトラスト セグメンテーションを使用することです。

イルミオがランサムウェア攻撃の封じ込めにどのように役立つかの詳細については、今すぐ お問い合わせください

関連トピック

Ransomware Containment

関連記事

Conti ランサムウェアからの防御: CISA がマイクロセグメンテーションを緊急に推奨する理由
Ransomware Containment

Conti ランサムウェアからの防御: CISA がマイクロセグメンテーションを緊急に推奨する理由

組織がContiランサムウェアから直面するリスクと、イルミオゼロトラストセグメンテーションがこれらの攻撃からの防御にどのように役立つかをご覧ください。

Read more
.Net アセンブリを使用したランサムウェア手法の謎を解く: 多段階攻撃
Ransomware Containment

.Net アセンブリを使用したランサムウェア手法の謎を解く: 多段階攻撃

一連の段階的なペイロードを使用した多段階のペイロード攻撃の基礎を学びます。

Read more
サイバーインシデントで何をすべきか:技術的な対応
Ransomware Containment

サイバーインシデントで何をすべきか:技術的な対応

サイバーインシデントを封じ込めるための即時の技術的な手順を学びます。患者ゼロの隔離から法医学的証拠の収集、横方向の拡散の防止まで。

Read more
ランサムウェア封じ込めにイルミオを使用する9つの理由
Ransomware Containment

ランサムウェア封じ込めにイルミオを使用する9つの理由

イルミオのリアルタイムの可視性とシンプルな制御により、未使用のRDPポートなど、ランサムウェアのリスクの最大の発生源を迅速に削減する方法をご覧ください。

Read more
IllumioでLockBitランサムウェア攻撃を封じ込める方法
Ransomware Containment

IllumioでLockBitランサムウェア攻撃を封じ込める方法

LockBitランサムウェアがどのように動作し、2022年夏にIllumio Zero Trust SegmentationがLockBitランサムウェア攻撃をどのように封じ込めたかをご覧ください。

Read more

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more