블랙매터 랜섬웨어: 일루미오 제로 트러스트 세분화를 통한 위험 완화

미국 정부의 다양한 보안 관련 기관들이 최근 들어 점점 더 목소리를 높이고 있습니다. 이는 약 68개의 개별 변종이 존재하는 랜섬웨어 환경에 직면한 조직에게 희소식입니다. 사이버 보안 및 인프라 보안국(CISA), 연방수사국(FBI), 국가안보국(NSA)의 최신 경보에 따르면 BlackMatter로 알려진 비교적 새로운 서비스형 랜섬웨어 (RaaS) 그룹에 대해 경고하고 있습니다.

블랙매터란 무엇인가요?

블랙매터 RaaS 그룹은 7월에 처음 등장했으며, 몇 달 전에 은퇴한 악명 높은 다크사이드 작전과 관련이 있을 것이라는 소문이 돌았습니다. 다크사이드는 지난 5월 동부 해안의 주요 연료 파이프라인을 며칠 동안 중단시킨 콜로니얼 파이프라인 공격의 배후에 있었습니다.

경고에 따르면, 블랙매터는 의료, 정부, 석유 및 가스 및 기타 업종을 피한다고 주장하지만 이미 "여러" 미국 중요 인프라 제공업체를 표적으로 삼고 있습니다. 이 중 한 업체인 뉴 협동조합은 지난달 590만 달러의 몸값을 요구받았지만, 블랙매터의 지불 요구액은 1,500만 달러에 달할 수 있다고 CISA는 주장합니다.

피해 조직의 경우 다음과 같은 다양한 잠재적 비즈니스 리스크가 발생할 수 있습니다:

• 복구, 조사 및 정리 비용
• 규제 벌금
• 평판 손상 및 고객 이탈
• 특히 개인 데이터 유출 시 발생하는 법적 비용
• 생산성 영향 및 운영 중단
• 매출 손실

블랙매터는 어떻게 운영되나요?

특정 블랙매터 샘플에 대한 샌드박스 분석을 기반으로 보안 팀이 소화할 수 있는 많은 정보가 CISA 알림에 포함되어 있습니다. 한 가지 중요한 점은 RaaS 공격의 경우, 여러 그룹이 동일한 랜섬웨어를 조금씩 다른 방식으로 사용하여 표적을 공격할 수 있다는 점입니다.

즉, 이 경보에서 설명하는 전술, 기법 및 절차(TTP)는 다음과 같이 요약할 수 있습니다:

피해자 네트워크에 대한 지속성 - 합법적인 원격 모니터링 및 데스크톱 도구가 있는 평가판 계정 사용

자격 증명 액세스 - Microsoft의 프로세스 모니터(procmon) 도구를 사용하여 LSASS(로컬 보안 기관 하위 시스템 서비스) 메모리에서 자격 증명을 수집합니다.

모든 Active Directory 호스트 검색 - 이전에 손상된 자격 증명을 (Lightweight Directory Access Protocol) LDAP 및 SMB(서버 메시지 블록) 프로토콜에 내장된 자격 증명을 사용합니다.

실행 중인 모든 프로세스의 열거 - NtQuerySystemInformation 사용

네트워크에서 실행 중인 모든 서비스 열거 - EnumServicesStatusExW 사용

측면 이동 - "srvsvc.NetShareEnumAll" MSRPC(Microsoft 원격 프로시저 호출) 함수를 사용하여 검색된 모든 공유를 나열한 다음 SMB를 사용하여 연결합니다.

데이터 유출 - 이중 강탈을 위한 데이터 탈취

암호화 - SMB 프로토콜을 통한 공유의 원격 암호화. 블랙매터는 백업 시스템도 지울 수 있습니다.

일루미오 제로 트러스트 세그멘테이션의 지원 방법

CISA 알림에는 공격의 영향을 완화하기 위해 조직이 취할 수 있는 여러 가지 모범 사례 단계가 나열되어 있습니다. 여기에는 강력한 비밀번호 관리 및 다단계 인증부터 패치 관리, 네트워크 리소스에 대한 최소 권한 액세스 구현에 이르기까지 다양합니다.

그러나 가장 중요한 권장 사항 중 하나는 랜섬웨어가 네트워크를 자유롭게 이동하는 능력을 제한하기 위해 세분화를 구현하는 것입니다:

"네트워크 세그먼트 를 사용하여 랜섬웨어 확산을 방지하세요. 네트워크 분할은 다양한 하위 네트워크 간의 트래픽 흐름과 액세스를 제어하고 공격자의 측면 이동을 제한하여 랜섬웨어의 확산을 방지하는 데 도움이 될 수 있습니다."

바로 이 지점에서 일루미오의 진가가 발휘됩니다. 실제로 저희는 선도적인 분석 기관인 Forrester와 가트너가 권장하는 제로 트러스트 세분화 접근 방식을 통해 기존의 네트워크 세분화를 뛰어넘습니다.

Illumio는 간단한 3단계 접근 방식으로 랜섬웨어를 차단합니다:

1. 위험 기반 가시성 확보: Illumio는 모든 워크로드, 데이터 센터, 퍼블릭 클라우드에서 통신과 종속성을 자동으로 매핑합니다.
2. 위험 평가: Illumio는 가장 위험에 노출된 기업 애플리케이션과 시스템을 강조합니다.
3. 랜섬웨어 포함: 이 인사이트를 사용하여 SMB와 같이 측면 이동을 용이하게 하는 데 사용될 수 있는 위험한 경로와 포트를 잠급니다.

이러한 단계에 따라 Illumio는 BlackMatter와 같은 랜섬웨어 위협 행위자가 심각한 피해를 입히기 전에 선제적으로 제한하고 중요 자산을 격리할 수 있습니다. 정책 생성은 모든 유형의 워크로드(베어메탈, 가상 머신, 컨테이너)에 최적화된 세분화 정책을 제안하는 자동화된 프로세스를 통해 간소화됩니다. 침해 발생 시 활성화하여 특정 네트워크 통신을 차단하는 비상 잠금 스위치를 미리 구축할 수도 있습니다.

오늘날 어떤 조직도 100% 침해 방지를 자신 있게 주장할 수 없습니다. 하지만 일루미오를 사용하면 위협 행위자가 돌이킬 수 없는 피해를 입히기 전에 차단할 수 있는 기술이 있습니다.

자세히 알아보려면 지금 바로 문의하세요.