Provedor de telecomunicações contém o ataque Black Basta e recupera o funcionamento

O cliente chamou a Unit 42® para determinar a extensão do acesso não autorizado, negociar o pagamento do resgate e erradicar a ameaça.

Resultados
Desafio
Resultados
Entre em contato
Resultados
3dias

Para determinar o vetor de ataque em um ambiente com 50.000 endpoints

80%de redução

No resgate com negociação especializada

2dias

Para conter a ameaça e garantir a continuidade das operações de negócios

O cliente

Empresa de telecomunicações que atende a milhões de clientes

O desafio

Ao longo de 13 horas, o cliente foi atingido por um grave ataque de ransomware que criptografou arquivos em dezenas de milhares de sistemas, exfiltrou dados confidenciais e interrompeu 50% de suas operações de negócios. O cliente pediu ajuda à Unit 42 para:

  • Conter a ameaça e evitar mais exfiltração de dados.
  • Erradicar o agente da ameaça.
  • Investigar a causa raiz e ajudar a recuperar as operações de negócios.

A abordagem rigorosa de resposta a incidentes da Unit 42 para obter resultados superiores

Avalie

O cliente percebeu que havia sido afetado pelo ransomware quando identificou arquivos criptografados e notas de resgate em seu ambiente corporativo.A Unit 42 começou a avaliar o ataque em duas horas.

Investigar

A análise forense e a caça às ameaças revelaram rapidamente o ransomware Black Basta, o e-mail de phishing inicial e a extensão do acesso não autorizado.

Proteger

Implantamos o Cortex XDR® em todo o ambiente afetado em 96 horas para garantir que o ataque fosse contido, permitindo que a equipe de MDR da Unit 42 iniciasse o monitoramento e a caça a ameaças 24 horas por dia, 7 dias por semana.

Recuperar

Negociamos uma redução de 80% do pedido de resgate inicial e obtivemos, testamos e implementamos chaves de decriptação.

Transforme

Identificamos as lacunas na segmentação da rede, no controle de credenciais, na segurança dos endpoints e na visibilidade da segurança e implantamos tecnologias adicionais de firewall e controle de acesso.

Primeiro ponto de acionamento

Avalie

Investigar

Proteger

Recuperar

Transforme

Rolar para a direita

Cronograma da resolução

Avalie

Investigar

Proteger

Recuperar

Transforme

Dias 0 - 4
Intervenção durante a crise

Implantamos o Cortex XDR e o Xpanse® para obter visibilidade em toda a empresa para a coleta forense e de indicadores.

Utilize a Inteligência contra ameaças da Unit 42 para identificar TTPs e IOCs do Black Basta e se aproximar rapidamente do invasor.

Estabelecemos contato com o agente da ameaça e negociamos uma redução de 80% do pedido inicial de resgate.

Estabelecemos uma conectividade segura nos sites não afetados.

Dias 5- 7
Decriptação

O escopo, a gravidade e a natureza do incidente foram descobertos com a análise forense do Cortex XDR.

A causa raiz foi identificada como um e-mail de phishing QBot e determinou a extensão dos dados exfiltrados.

Implementamos a segmentação e a contenção da rede na sede do cliente usando firewalls NGFW com decriptação/inspeção de SSL ativada.

Iniciamos a decriptação usando um utilitário de decriptação de terceiros e concluímos a redefinição das credenciais em toda a rede.

Dias 8- 14
Recuperação

Identificamos toda a amplitude da atividade do agente da ameaça no ambiente afetado.

Contivemos e expulsamos totalmente o agente da ameaça do ambiente.

Recuperamos as operações de negócios críticas, os esforços de decriptação foram transferidos para sistemas de suporte de menor prioridade.

Estabelecemos uma conexão segura com sites remotos com o Prisma Access.

Dias 15- 30
Fortalecimento

O IR e o MDR permanecem em vigor para monitoramento 24 horas por dia, 7 dias por semana. Iniciamos a correção das vulnerabilidades identificadas no mapeamento do Xpanse.

Continuamos a reconstrução e a recuperação dos servidores e estações de trabalho afetados.

Garantimos visibilidade total, alertas e proteção com a implementação do Cortex XDR em toda a empresa em mais de 30.000 endpoints.

Último ponto de acionamento

Resposta a incidentes informada

Com a Resposta a Incidentes da Unit 42, fique à frente das ameaças e fora dos noticiários. Investigue, contenha e recupere-se de incidentes mais rapidamente e saia mais forte do que nunca, com o apoio de todo o poder da empresa líder mundial em segurança cibernética. Entre em contato conosco para ter tranquilidade.

FALE COM UM ESPECIALISTA HOJE MESMO

Com o apoio dos melhores do setor

  • Ícone do logotipo para a inteligência contra ameaças
    Gerenciamento

    Ampla telemetria e inteligência para investigação e correção aceleradas.

  • Ícone da tecnologia
    Tecnologia

    A plataforma da Palo Alto Networks oferece visibilidade detalhada para encontrar, conter e eliminar ameaças mais rapidamente, com interrupção limitada.

  • Símbolo de experiência
    Experiência

    Especialistas confiáveis que se mobilizam rapidamente e agem de forma decisiva em mais de 1.000 incidentes por ano.

Receba as últimas notícias, convites para eventos e alertas de ameaças