.png)
Como interromper os ataques do Clop Ransomware com o Illumio
O cenário do ransomware é um espaço complexo e volátil. As variantes vêm e vão, os desenvolvedores pegam emprestado e roubam uns dos outros e os afiliados adicionam suas próprias personalizações personalizadas. Isso pode dificultar saber com quem ou com o que exatamente você está lidando quando ocorre uma violação. Também pode fazer com que dois ataques separados nominalmente do mesmo coletivo sejam potencialmente muito diferentes um do outro.
Apesar de toda essa complexidade e mudança, uma permanente nos últimos anos foi o grupo Clop. Ela comprometeu organizações tão diversas quanto escritórios de advocacia globais e fabricantes de aeronaves, acumulando centenas de milhões de dólares no processo.
Felizmente para os clientes da Illumio, podemos impedir que os ataques do Clop se transformem em desastres cibernéticos. Tudo se resume a entender como os ativos essenciais da rede se comunicam entre si e, em seguida, bloquear conexões não essenciais em grande escala.
O que é Clop?
O Clop é um dos grupos de ransomware mais ricos do mercado. Relatórios dizem que lavadores de dinheiro relacionados à empresa tentaram esconder pelo menos 500 milhões de dólares. O valor real das receitas de ransomware certamente será muito maior. O malware apareceu pela primeira vez em 2019, uma variante de uma cepa anterior conhecida como CryptoMix. Nos anos seguintes, foi criada para trabalhar em setores tão diversos como transporte e logística, educação, manufatura, saúde e varejo.
O Clop foi associado a vários vetores de acesso inicial no passado, desde ataques diretos de phishing até explorações de dia zero direcionadas a um único fornecedor de software de transferência de arquivos. A última técnica, altamente incomum no espaço de ransomware, rendeu ao grupo notoriedade global e muitas vítimas corporativas.
Um fio condutor comum que liga a maioria desses ataques é o da extorsão dupla ". " Agora comum entre os atores de ransomware, ele foi popularizado por grupos como o Clop. Nesse ataque, as organizações vítimas não apenas encontram seus dados e sistemas mais confidenciais criptografados, mas também podem sofrer uma grave violação de dados. Isso efetivamente aumenta as apostas para as vítimas corporativas. Você pode ter backups dos dados criptografados. Mas se os bandidos roubaram dados confidenciais de IP ou de clientes altamente regulamentados, isso mudará significativamente qualquer cálculo de risco.
Como funciona o Clop?
Embora haja muitas variações nos ataques do Clop, um padrão específico é instrutivo no modus operandi dos afiliados. Ele explora sistemas do Active Directory (AD) mal configurados para comprometer essas contas do AD com privilégios de domínio. Isso fornece aos atacantes as chaves do reino, permitindo que eles:
- Execute comandos remotos, como scripts WMI e PowerShell, no endpoint comprometido e em qualquer outro sistema conectado a ele via AD.
- Mantenha a persistência em um sistema comprometido criando novas contas ou criando/modificando processos do sistema. Os agentes de ameaças também podem executar comandos ou inicializar scripts automaticamente na inicialização ou no login — em qualquer ativo em rede conectado via AD.
Com essas ferramentas em seu arsenal, os atacantes do Clop podem se mover com bastante facilidade pelas organizações comprometidas, implantando o ransomware e encontrando e exfiltrando dados confidenciais. Eles devem se conectar à Internet pública para fazer isso, a fim de baixar ferramentas adicionais e fazer o upload dos dados roubados.
Como parar o Clop
Nesse cenário, neutralizar a ameaça do Clop exige que as equipes de segurança obtenham uma visão granular de como a configuração do AD funciona. Ao remover o acesso ao privilégio de domínio de contas que não precisam dele, ou seja, aplicando os princípios de “privilégio mínimo”, elas podem reduzir significativamente a superfície de ataque. Em seguida, restrinja os caminhos comuns que esse ataque pode procurar explorar, incluindo WinRM, NetBIOS e SMB.
Como a Illumio pode ajudar
A Illumio ajuda algumas das maiores organizações do mundo a impedir ataques do Clop e de qualquer outro grupo de ransomware. Fazemos isso fornecendo gerenciamento de políticas simplificado e escalável para ajudar a impor a segmentação Zero Trust.
Com o Illumio, você pode entender em tempo real como os ativos de rede se comunicam entre si e com a Internet pública. Depois, você pode tomar decisões estratégicas sobre quais caminhos manter abertos e quais bloquear — reduzindo a superfície de ataque e deixando os bandidos sem boas opções.
Resumindo, o Illumio pode ajudar a impedir o ransomware Clop ao:
- Mapeando todas as instâncias e conexões do Active Directory
- Identificação de conexões essenciais de entrada/saída
- Implantação rápida de políticas para restringir comunicações não essenciais em grande escala e monitorar quaisquer caminhos que tenham sido deixados abertos
Como a maioria dos grupos, Clop é resiliente. Poucos dias depois de uma grande repressão policial levar às prisões, ela voltou a comprometer as vítimas. A única maneira de lidar com esse tipo de persistência é com a sofisticada segmentação Zero Trust da Illumio.
Para ler mais sobre como o Illumio ajuda a conter ataques de ransomware, entre em contato conosco hoje mesmo.
