Azienda globale si difende dall'attacco informatico multifase di Muddled Libra

Unit 42® è stata chiamata in causa per indagare su un complesso attacco a base di social engineering, sfruttamento degli strumenti di sicurezza e furto di dati.

Risultati
Sfida
Esiti
Contattaci
Risultati
4giorni

Per identificare, contenere ed espellere l'autore della minaccia

<1giorno

Per identificare le nuove TTP dell'autore di minacce emergente, in modo da contenere più velocemente gli incidenti futuri

16minuti

Dal blocco di un secondo attacco brute force da parte di Cortex XDR® alla risposta e alla raccomandazione di misure di difesa da parte del servizio MDR di Unit 42

Il cliente

Società globale di outsourcing di processi aziendali

La sfida

Il cliente è stato bersaglio di un sofisticato attacco informatico messo in atto da Muddled Libra. I cinque attacchi nell'arco di una settimana dimostravano la capacità dell'autore della minaccia di adattarsi e di trovare nuovi percorsi di accesso alla rete, tra cui l'utilizzo degli strumenti di sicurezza della vittima stessa per il movimento laterale e l'attuazione di ulteriori compromissioni. Unit 42 è stata messa in campo per:

  • Indagare e rispondere ai diversi tentativi di attacco.
  • Contenere e correggere, rimarcando un approccio olistico alla sicurezza.
  • Sfruttare la conoscenza approfondita dell'autore della minaccia per implementare misure di sicurezza efficaci.

Il rigoroso approccio di risposta agli incidenti di Unit 42 per risultati di livello superiore

Valutazione

Ha svolto una valutazione degli ambienti per individuare segni di accessi non autorizzati e attività sospette, al fine di determinare la portata e l'impatto degli attacchi.

Indagini

Unit 42 ha svolto un'indagine approfondita e raccolto prove per identificare rapidamente i sistemi e gli account interessati.

Protezione

Ha consigliato al cliente di proteggere account e sistemi compromessi, iniziare la ricostruzione di Active Directory, isolare immediatamente i sistemi interessati, modificare le password e rafforzare i firewall.

Ripristino

Le priorità erano ripristinare i sistemi interessati e riportarli in uno stato di sicurezza, applicare le patch e rafforzare i punti di vulnerabilità della rete.

Trasformazione

Il cliente ha collaborato con Unit 42 per applicare quanto appreso ai fini della promozione del miglioramento continuo delle prassi di sicurezza, con l'implementazione di corsi di sensibilizzazione e lo svolgimento di valutazioni regolari della sicurezza.

Primo punto di innesco

Valutazione

Indagini

Protezione

Ripristino

Trasformazione

Scorri a destra

Timeline della risoluzione

Valutazione

Indagini

Protezione

Ripristino

Trasformazione

Attacco 1

Identificazione dei primi segni di accessi non autorizzati e attività sospette e valutazione della portata e dell'impatto dell'intrusione.

Analisi delle prove digitali per identificare i sistemi e gli account coinvolti.

Messa in sicurezza degli account compromessi, isolamento dei sistemi compromessi, avvio della ricostruzione di Active Directory e del rafforzamento dei firewall.

Ripristino dei sistemi interessati per riportarli in uno stato di sicurezza, eliminazione di eventuali elementi dannosi e rafforzamento dei punti di vulnerabilità.

Attacco 2

Monitoraggio continuo delle attività non autorizzate, valutando l'entità del movimento laterale e della ricognizione.

Ulteriori indagini per identificare gli strumenti e le tecniche utilizzati dall'autore della minaccia.

Implementazione di misure di sicurezza aggiuntive per ridurre al minimo i rischi, inclusi il blocco degli accessi a strumenti specifici e l'aggiornamento delle policy di sicurezza.

Identificazione dei dati esfiltrati, ripristino dei sistemi interessati e identificazione e correzione delle vulnerabilità.

Attacco 3

Analisi dell'impatto dei tentativi di accesso non autorizzato a un dominio virtualizzato di terze parti, valutando i potenziali rischi e l'esposizione.

Ulteriori indagini per determinare l'entità dell'accesso non autorizzato e della potenziale esfiltrazione di dati.

Messa in sicurezza del dominio di terze parti con l'implementazione di controlli degli accessi più rigorosi e lo svolgimento di valutazioni della sicurezza.

Inizio dell'identificazione dei dati esfiltrati e del ripristino del dominio di terzi per recuperarne la sicurezza, individuando e correggendo le vulnerabilità.

Rafforzamento del livello di sicurezza del dominio di terze parti con l'implementazione di controlli di sicurezza aggiuntivi e lo svolgimento di audit regolari.

Attacco 4

Valutazione dell'impatto e della potenziale esposizione dell'accesso non autorizzato a operazioni di posta elettronica e condivisione di file.

Ulteriori indagini per identificare gli account coinvolti e l'entità dei dati oggetto dell'accesso o della manipolazione.

Messa in sicurezza degli account e dei sistemi interessati, con la reimpostazione delle password e l'implementazione di ulteriori monitoraggi e controlli degli accessi.

Recupero dei dati compromessi e ripristino degli account e dei sistemi interessati, con l'identificazione e la correzione delle vulnerabilità.

Potenziamento delle misure di protezione dei dati, con l'implementazione di controlli di data loss prevention e il rafforzamento dei protocolli di sicurezza della posta elettronica.

Attacco 5

Valutazione dell'impatto complessivo dell'intrusione nella rete e dell'efficacia delle misure di sicurezza, valutando la preparazione alla prevenzione degli incidenti futuri.

Identificazione delle eventuali vulnerabilità residue o delle potenziali aree di miglioramento, riesaminando le procedure di risposta agli incidenti e le policy di sicurezza.

Implementazione di controlli di sicurezza aggiuntivi, svolgimento di test di penetrazione e miglioramento delle funzionalità di monitoraggio.

Monitoraggio continuo e ricerca proattiva delle minacce per accertarsi che i sistemi non presentino accessi non autorizzati.

Applicazione di quanto appreso per promuovere miglioramenti a lungo termine delle prassi di sicurezza, svolgimento di corsi di formazione e valutazioni regolari sulla sicurezza.

Ultimo punto di innesco

Risposta agli incidenti basata sulla conoscenza delle minacce

Scegli il servizio di risposta agli incidenti di Unit 42 per giocare d'anticipo sulle minacce ed evitare di finire sui giornali. Indaga, contieni e ripristina più rapidamente le normali attività in seguito agli incidenti ed escine con una solidità mai vista prima, grazie alla straordinarie capacità dell'azienda leader mondiale nel settore della sicurezza informatica. Contattaci per poter lavorare con la massima tranquillità.

PARLA SUBITO CON UN ESPERTO

Con il meglio del settore in termini di

  • Icona del logo threat intelligence
    Threat intelligence

    Telemetria e intelligence dettagliate per indagini e correzioni più rapide

  • Icona della tecnologia
    Tecnologia

    Piattaforma Palo Alto Networks per una visibilità approfondita che consente di individuare, contenere ed eliminare le minacce più velocemente, con interruzioni limitate.

  • Simbolo dell'esperienza
    Esperienza

    Esperti di fiducia che si attivano rapidamente e agiscono con fermezza in oltre 1000 incidenti l'anno.

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce