Un proveedor de telecomunicaciones contiene un ataque de Black Basta y restablece sus operaciones

El cliente llamó a Unit 42®para determinar el alcance del acceso no autorizado, negociar el pago del rescate y erradicar la amenaza.

Resultados
Desafío
Resultados
Póngase en contacto
Result
ados
3días

Para determinar el vector de ataque en un entorno de 50 000 endpoints

80%de reducción

En el rescate con la negociación de expertos

2días

Para contener la amenaza y garantizar la continuidad de las operaciones de negocios

El cliente

Empresa de telecomunicaciones que presta servicio a millones de clientes

El desafío

En el transcurso de 13 horas, el cliente sufrió un grave ataque de ransomware que cifró archivos en decenas de miles de sistemas, filtró datos confidenciales y detuvo el 50 % de sus operaciones de negocios. El cliente pidió ayuda a Unit 42 para hacer lo siguiente:

  • Contener la amenaza y evitar filtraciones adicionales de datos.
  • Hacer desaparecer al autor de la amenaza.
  • Investigar la causa y ayudar a restablecer las operaciones de negocios.

El riguroso enfoque de respuesta ante incidentes de Unit 42 para obtener resultados superiores

Evaluar

El cliente se dio cuenta de que se había visto afectado por un ataque de ransomware cuando identificó archivos cifrados y notas de rescate en su entorno empresarial. Unit 42 comenzó a evaluar el ataque en el plazo de dos horas.

Investigar

La investigación forense y la detección de amenazas revelaron rápidamente el Black Basta ransomware, el correo electrónico de phishing inicial y el alcance del acceso no autorizado.

Proteger

Se implementó Cortex XDR® en todo el entorno afectado en un plazo de 96 horas para garantizar la contención del ataque, lo que permitió al equipo de MDR de Unit 42 iniciar la supervisión y la detección de amenazas las 24 horas del día, los 7 días de la semana.

Recuperar

Se negoció una reducción del 80 % de la exigencia de rescate inicial y se obtuvieron, probaron e implementaron claves de descifrado.

Transformar

Se identificaron brechas en la segmentación de la red, el control de credenciales, la seguridad de los endpoints y la visibilidad de la seguridad y se implementaron tecnologías adicionales de firewall y control de acceso.

First trigger point

Evaluar

Investigar

Proteger

Recuperar

Transformar

Deslizar hacia la derecha

Línea de tiempo de resolución

Evaluar

Investigar

Proteger

Recuperar

Transformar

Días 0 a 4
Intervención en casos de crisis

Se implementó Cortex XDR y Xpanse® para obtener visibilidad en toda la empresa a fin de recopilar indicadores y datos forenses.

Se aprovechó la inteligencia de amenazas de Unit 42 para identificar los TTP y los IOC de Black Basta y acercarse rápidamente al atacante.

Se estableció contacto con el autor de la amenaza y se negoció una reducción del 80 % de la exigencia de rescate inicial.

Se estableció una conectividad segura para los sitios no afectados.

Days 5 - 7
Descifrado

Alcance, gravedad y naturaleza del incidente descubiertos mediante el análisis forense de Cortex XDR.

Se identificó la causa principal como un correo electrónico de phishing QBot y se determinó el alcance de los datos filtrados.

Se implementó la segmentación y contención de la red en la sede central del cliente mediante NGFW con descifrado/inspección de SSL activados.

Se inició el descifrado mediante una utilidad de descifrado de terceros y se realizó el restablecimiento de credenciales en toda la red.

Días 8 a 14
Restauración

Se identificó toda la amplitud de la actividad del autor de la amenaza en el entorno afectado.

Se implementó una contención total y se expulsó del entorno al autor de la amenaza.

Se restablecieron las operaciones de negocios críticas y se trasladaron los esfuerzos de descifrado a sistemas de apoyo de menor prioridad.

Se estableció una conexión segura a sitios remotos con Prisma Access.

Días 15 a 30
Fortificación

La IR y la MDR permanecen en su lugar para una supervisión las 24 horas del día, los 7 días de la semana. Se comenzó a corregir las vulnerabilidades identificadas en la asignación de Xpanse.

Se continuó con la reconstrucción y restauración de los servidores y las estaciones de trabajo afectados.

Se garantizó una visibilidad, alerta y protección completas a través de la implementación en toda la empresa de Cortex XDR en más de 30 000 endpoints.

Last trigger point

Respuesta ante incidentes basada en amenazas

Gracias al equipo de respuesta ante incidentes de Unit 42, manténgase por delante de las amenazas y fuera de las noticias. Investigue, contenga y recupérese de los incidentes más rápidamente y salga más fortalecido que nunca, respaldado por todo el poder de la empresa líder mundial en ciberseguridad. Póngase en contacto con nosotros para obtener tranquilidad.

HABLE CON UN EXPERTO HOY MISMO

Con el respaldo de los mejores del sector

  • Threat Intel logo icon
    Inteligencia de amenazas

    Amplia telemetría e inteligencia para acelerar la investigación y la corrección.

  • Technology icon
    Tecnología

    Plataforma de Palo Alto Networks para una visibilidad en profundidad a fin de encontrar, contener y eliminar amenazas más rápidamente, con interrupciones limitadas.

  • Experience symbol
    Experiencia

    Expertos de confianza que se movilizan rápidamente y actúan con decisión en más de 1000 incidentes por año.

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas