REvilを阻止する:イルミオが最も多作なランサムウェアグループの1つをどのように破壊できるか

ランサムウェアグループは出入りします。しかし、REvilほど知名度の高い人はほとんどいません。ソディノキビとしても知られるこのグループとその関連会社は、過去12〜18か月間の最も大胆な侵害のいくつかに責任を負ってきました。これらには 、有名人の法律事務所 や食肉加工大手への襲撃が含まれており、 攻撃者は$11mを稼いだ。その他の注目すべきキャンペーンには、ITソフトウェア会社Kaseyaへの高度な攻撃や、台湾のメーカーでAppleのクライアントであるQuanta Computerの侵害などがあります。

後者の 2 つは、それぞれ 7,000 万ドルと 5,000 万ドルという法外な身代金要求で注目に値します。しかし、目標を推進するために、方法は異なるものの、グローバルサプライチェーンを活用したからでもあります。

REvilは最近、逮捕と制裁によって混乱 している が、グループは活動を継続している と伝えられている 。良いニュースは、イルミオがリスクの高いネットワーク接続をマッピング、監視、ブロックすることで、REvilの脅威を軽減できること、そしてグループが最終的に消滅した場合に続く反復の脅威を軽減できることです。

サプライチェーン攻撃はなぜ危険なのですか?

サプライチェーンに対するランサムウェア攻撃は、相互接続されたビジネスのネットワーク全体を混乱させる可能性があるため、危険です。これらの攻撃は、生産を停止し、納品を遅らせ、重大な経済的損失を引き起こす可能性があります。

さらに、データ侵害につながり、機密情報が複数の組織にまたがって公開され、信頼が損なわれ、評判が損なわれる可能性があります。

サプライチェーン内の相互依存性は、1つの事業体に対する攻撃が連鎖的な影響を及ぼし、他の多くのビジネスに影響を与え、広範囲にわたる経済的影響につながる可能性があることを意味します。

2021年4月のクアンタコンピュータ襲撃は賢明だった。Appleの主要な受託製造パートナーとして、Appleは機密性の高い設計図と製品IPにアクセスできます。また、REvil は、クパチーノのテクノロジー大手よりも保護が不十分である可能性があると計算しました。

Quantaが支払いを拒否すると、グループはAppleに身代金を要求し、さもなければ盗まれた文書を漏洩または販売するだろう。彼らが成功したかどうかはわかりませんが、報道によると、襲撃に関連するすべてのデータはその後、REvil リーク サイトから 削除されました 。

この事件は私たちに何を教えてくれますか?まず、組織が価値の高いパートナーと取引を行う場合、 ランサムウェア/REvilの標的になる可能性があります。そして第二に、安全性は最も安全でないサプライヤーと同じくらい安全です。

REvil はどのように機能しますか?

クアンタの攻撃自体には、いくつかのユニークな要素が含まれていました。しかし、脆弱な外向きのソフトウェアやサービスを悪用するという広範なパターンは、数え切れないほどのキャンペーンで使用されてきました。 

この場合、REvilはOracle WebLogicソフトウェアの脆弱性を標的にしました。これにより、脅威アクターは、ユーザーの操作なしに、侵害されたサーバーにマルウェアをダウンロードして実行させることができました。主に2つの段階がありました。

1. 攻撃者は、パッチが適用されていないWebLogicサーバーへのHTTP接続を作成し、Sodinokibiランサムウェアの亜種をダウンロードするように強制しました。PowerShellコマンドを使用して、「radm.exe」という名前のファイルをダウンロードしました悪意のあるIPアドレスから、サーバーにファイルをローカルに保存して実行するように強制します。
2. 攻撃者は、ユーザーのディレクトリ内のデータを暗号化し、Windows が自動的に作成する暗号化されたデータの「シャドウ コピー」を削除してデータ回復を中断しようとしました。

どうすればREvilを止めることができますか?

リスクの高いエンドポイントに迅速なパッチを適用するなど、適切なサイバー衛生は、組織の攻撃対象領域を減らすのに役立ちます。しかし、これを超えて、ネットワークレベルでより包括的なアクションを実行できます。

組織は、信頼できるチャネルやサードパーティ製ソフトウェアでさえ、マルウェアやランサムウェアの経路になる可能性があることを理解する必要があります。このリスクを軽減するには、既 製のソリューション 、特にエンドポイント検出と対応(EDR)や拡張検出と対応(XDR)などのセキュリティツールを環境の他の部分からセグメント化する必要があります。

企業は、 重要でないアウトバウンド接続を特定して制限することも検討する必要があります。つまり、ポート 80 と 443 を含む、許可された宛先 IP への通信を除くすべての通信をブロックします。これにより、攻撃を進めるための追加のツールをダウンロードするために、コマンド&コントロール(C&C)サーバーに「コールホーム」を試みる脅威アクターが妨害されます。また、組織から管理下にあるサーバーにデータを流出させようとする試みもブロックされます。

イルミオがどのように役立つか

イルミオの高度な ゼロトラストセグメンテーションテクノロジー は、重要資産を保護し、ランサムウェアを隔離するための簡単でスケーラブルなポリシー管理を提供します。イルミオは、セキュリティチームがコミュニケーションフローとリスクの高い経路を可視化できるようにします。次に、ワークロードレベルまで完全なセグメンテーション制御を適用して、攻撃対象領域を大幅に減らし、ランサムウェアの影響を最小限に抑えます。

Illumioは3つの簡単なステップで、REvilのようなランサムウェアから組織を保護できます。

1. すべての必須および非必須のアウトバウンド通信をマッピングする
2. ポリシーを迅速に展開して、大規模な通信を制限する
3. 閉じられない送信接続を監視する
    

ランサムウェアに対するレジリエンスの構築に関するベストプラクティスのガイダンスについては、以下を参照してください。

• 電子書籍「ランサムウェア攻撃を阻止する方法」を読む
• インフォグラフィック「ランサムウェアを阻止するための3つのステップ」をダウンロード
• イルミオエクスペリエンスハンズオンラボに登録して、イルミオのリスクベースの可視性とゼロトラストセグメンテーション機能をご自身で確認してください