Provider di servizi di telecomunicazioni contiene un attacco Black Basta e ripristina l'operatività

Il cliente ha scelto Unit 42® per determinare l'entità dell'accesso non autorizzato, negoziare il pagamento del riscatto ed eliminare la minaccia.

Risultati
Sfida
Esiti
Contattaci
Risultati
3giorni

Per determinare il vettore di attacco in un ambiente con 50.000 endpoint

80%di riduzione

Del riscatto con la negoziazione gestita da esperti

2giorni

Per contenere la minaccia e garantire la continuità delle operazioni aziendali

Il cliente

Società di telecomunicazioni al servizio di milioni di clienti

La sfida

Nell'arco di 13 ore, il cliente è stato vittima di un grave attacco ransomware che ha crittografato i file su decine di migliaia di sistemi, esfiltrato dati sensibili e bloccato il 50% delle operazioni aziendali. Il cliente si è rivolto a Unit 42 per:

  • Contenere la minaccia e prevenire ulteriori esfiltrazioni di dati.
  • Eliminare l'autore della minaccia.
  • Indagare per scoprire la causa principale e ricevere assistenza per il ripristino delle operazioni aziendali.

Il rigoroso approccio di risposta agli incidenti di Unit 42 per risultati di livello superiore

Valutazione

Il cliente si è reso conto di essere stato vittima di un attacco ransomware con il riscontro di file crittografati e richieste di riscatto nel proprio ambiente aziendale. Unit 42 ha iniziato la valutazione dell'attacco entro due ore..

Indagini

Le indagini forensi e le attività di ricerca delle minacce hanno presto portato alla luce il ransomware Black Basta, l'e-mail di phishing iniziale e l'entità degli accessi non autorizzati.

Protezione

Cortex XDR® è stato distribuito nell'ambiente interessato entro 96 ore per il contenimento dell'attacco, consentendo al team MDR di Unit 42 di intraprendere la ricerca delle minacce e il monitoraggio 24 ore su 24, 7 giorni su 7.

Ripristino

È stata negoziata una riduzione dell'80% rispetto alla richiesta di riscatto iniziale e sono state ottenute, testate e implementate le chiavi di decrittografia.

Trasformazione

Sono state identificate lacune nella segmentazione della rete, nel controllo delle credenziali, nella sicurezza degli endpoint e nella visibilità correlata alla sicurezza e sono state distribuite ulteriori tecnologie firewall e di controllo degli accessi.

Primo punto di innesco

Valutazione

Indagini

Protezione

Ripristino

Trasformazione

Scorri a destra

Timeline della risoluzione

Valutazione

Indagini

Protezione

Ripristino

Trasformazione

Giorni 0 - 4
Intervento durante la crisi

DDistribuzione di Cortex XDR e Xpanse® per la visibilità sull'intera azienda, al fine di raccogliere indicatori e dati forensi.

Grazie alla threat intelligence di Unit 42, sono state identificate le TTP e gli IoC di Black Basta per accerchiare rapidamente l'autore dell'attacco.

Contatto con l'autore della minaccia e negoziazione di una riduzione dell'80% rispetto alla richiesta di riscatto iniziale.

Predisposizione di una connettività protetta per i siti non interessati dall'attacco.

Giorni 5 - 7
Decrittografia

Scoperta della portata, della gravità e della natura dell'incidente attraverso l'analisi forense di Cortex XDR.

Identificazione della causa principale in un'e-mail di phishing Qbot e determinazione dell'entità dei dati esfiltrati.

Implementazione di metodi di contenimento e segmentazione della rete presso la sede centrale del cliente, utilizzando firewall NGFW con la decrittografia/ispezione SSL abilitata.

Inizio della decrittografia con un'apposita utility di terze parti, completamento della reimpostazione delle credenziali sull'intera rete.

Giorni 8 - 14
Ripristino

Identificazione di tutte le attività dell'autore della minaccia all'interno dell'ambiente interessato.

Contenimento totale ed espulsione dell'autore della minaccia dall'ambiente.

Ripristino delle operazioni aziendali critiche, trasferimento delle attività di decrittografia su sistemi di supporto a priorità inferiore.

Predisposizione di una connessione protetta ai siti remoti con Prisma Access.

Giorni 15 - 30
Fortificazione

Prosecuzione dell'utilizzo di IR e MDR per il monitoraggio 24 ore su 24, 7 giorni su 7. Inizio della correzione delle vulnerabilità identificate nella mappatura di Xpanse.

Ricostruzione e ripristino continuativi delle workstation e dei server interessati.

Garanzia di visibilità, avvisi e protezione a tutto tondo attraverso la distribuzione di Cortex XDR a livello aziendale su oltre 30.000 endpoint.

Ultimo punto di innesco

Risposta agli incidenti basata sulla conoscenza delle minacce

Scegli il servizio di risposta agli incidenti di Unit 42 per giocare d'anticipo sulle minacce ed evitare di finire sui giornali. Indaga, contieni e ripristina più rapidamente le normali attività in seguito agli incidenti ed escine con una solidità mai vista prima, grazie alla straordinarie capacità dell'azienda leader mondiale nel settore della sicurezza informatica. Contattaci per poter lavorare con la massima tranquillità.

PARLA SUBITO CON UN ESPERTO

Con il meglio del settore in termini di

  • Icona del logo threat intelligence
    Threat intelligence

    Telemetria e intelligence dettagliate per indagini e correzioni più rapide

  • Icona della tecnologia
    Tecnologia

    Piattaforma Palo Alto Networks per una visibilità approfondita che consente di individuare, contenere ed eliminare le minacce più velocemente, con interruzioni limitate.

  • Simbolo dell'esperienza
    Esperienza

    Esperti di fiducia che si attivano rapidamente e agiscono con fermezza in oltre 1000 incidenti l'anno.

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce