Una empresa mundial se defiende de un ciberataque de Muddled Libra de múltiples fases

Se investigaron las pruebas digitales para identificar las cuentas y los sistemas implicados.

Se protegieron las cuentas comprometidas, se aislaron los sistemas comprometidos, se inició la reconstrucción de Active Directory y se reforzó el firewall.

Se restablecieron los sistemas afectados a un estado seguro, eliminando cualquier presencia maliciosa y reforzando las vulnerabilidades.

Se llevó a cabo la supervisión continua de actividades no autorizadas, evaluando el alcance del movimiento lateral y el reconocimiento.

Investigación adicional para identificar las herramientas y técnicas utilizadas por el autor de la amenaza.

Se implementaron medidas de seguridad adicionales para mitigar los riesgos, incluido el bloqueo del acceso a herramientas específicas y la actualización de las políticas de seguridad.

Se identificaron los datos filtrados, se restauraron los sistemas afectados y se identificaron y corrigieron las vulnerabilidades.

Se evaluó el impacto de los intentos de acceso no autorizado a un dominio virtualizado de terceros, evaluando la exposición y los riesgos potenciales.

Investigación adicional para determinar el alcance del acceso no autorizado y la posible filtración de datos.

Se protegió el dominio de terceros, implementando controles de acceso más estrictos y realizando evaluaciones de seguridad.

Se comenzó a identificar los datos filtrados y a restaurar el dominio de terceros a un estado seguro, identificando y corrigiendo las vulnerabilidades.

Se reforzó la postura de seguridad del dominio de terceros, implementando controles de seguridad adicionales y realizando auditorías periódicas.

Se midió el impacto y se evaluó la exposición potencial del acceso no autorizado a los archivos de uso compartido y a las operaciones de correo electrónico.

Investigación adicional para identificar las cuentas implicadas y el alcance de los datos a los que se ha accedido o que se han manipulado.

Se protegieron las cuentas y los sistemas afectados, restableciendo las contraseñas e implementando controles de acceso y supervisión adicionales.

Se recuperaron los datos vulnerados y se restablecieron las cuentas y los sistemas afectados, identificando y corrigiendo las vulnerabilidades.

Se mejoraron las medidas de protección de datos, implementando controles de prevención de pérdida de datos y reforzando los protocolos de seguridad del correo electrónico.

Se midió el impacto general de la intrusión en la red y la eficacia de las medidas de seguridad, evaluando la preparación para prevenir futuros incidentes.

Se identificaron las vulnerabilidades restantes o las posibles áreas de mejora, revisando el proceso de IR y las políticas de seguridad.

Se implementaron controles de seguridad adicionales, se realizaron pruebas de penetración y se mejoraron las capacidades de supervisión.

Supervisión continua y detección proactiva de amenazas para garantizar que los sistemas no sufrieran accesos no autorizados.

Se utilizaron las lecciones aprendidas para impulsar mejoras a largo plazo en las prácticas de seguridad y se realizó una capacitación y evaluaciones de seguridad periódicas.