Una empresa mundial se defiende de un ciberataque de Muddled Libra de múltiples fases

Se llamó a Unit 42® para que investigara un complejo ataque que implicaba ingeniería social, explotación de herramientas de seguridad y robo de datos.

Result
ados
4días

Para identificar, contener y hacer desaparecer al autor de la amenaza

<1día

Para identificar nuevos TTP de autores de amenazas emergentes, ayudando a contener futuros incidentes con mayor rapidez

16minutos

Desde que Cortex XDR® bloquea un segundo ataque de fuerza bruta hasta que el equipo de MDR de Unit 42 responde y recomienda medidas defensivas

El cliente

Empresa mundial de subcontratación de procesos de negocios

El desafío

El cliente fue objeto de un sofisticado ciberataque ejecutado por Muddled Libra. Cinco ataques en un período de una semana demostraron la capacidad del autor de la amenaza de adaptarse y encontrar nuevas vías de acceso a la red, incluido el uso de las propias herramientas de seguridad de la víctima para el movimiento lateral y una mayor vulneración. Se recurrió a Unit 42 para que hiciera lo siguiente:

  • Investigar y responder a múltiples intentos de ataque.
  • Contener y remediar, haciendo hincapié en un enfoque holístico de la seguridad.
  • Aprovechar el profundo conocimiento del autor de la amenaza para implementar medidas de seguridad sólidas.

El riguroso enfoque de respuesta ante incidentes de Unit 42 para obtener resultados superiores

Evaluar

Se evaluaron los entornos para identificar indicios de accesos no autorizados y actividades sospechosas a fin de determinar el alcance y el impacto de los ataques.

Investigar

Unit 42 llevó a cabo una amplia investigación y recopiló pruebas para identificar rápidamente las cuentas y los sistemas afectados.

Proteger

Se aconsejó al cliente que protegiera las cuentas y los sistemas comprometidos, iniciara la reconstrucción de Active Directory, aislara inmediatamente los sistemas afectados, cambiara las contraseñas y reforzara los firewalls.

Recuperar

La prioridad era restaurar los sistemas afectados a un estado seguro, aplicar parches y reforzar las vulnerabilidades de la red.

Transformar

El cliente colaboró con Unit 42 en la aplicación de las lecciones aprendidas para impulsar mejoras continuas en sus prácticas de seguridad, impartiendo capacitación en concienciación y realizando evaluaciones de seguridad periódicas.

First trigger point

Evaluar

Investigar

Proteger

Recuperar

Transformar

Deslizar hacia la derecha

Línea de tiempo de resolución

Evaluar

Investigar

Proteger

Recuperar

Transformar

Ataque 1

Se identificaron indicios iniciales de acceso no autorizado y actividades sospechosas y se evaluó el alcance y el impacto de la intrusión.

Se investigaron las pruebas digitales para identificar las cuentas y los sistemas implicados.

Se protegieron las cuentas comprometidas, se aislaron los sistemas comprometidos, se inició la reconstrucción de Active Directory y se reforzó el firewall.

Se restablecieron los sistemas afectados a un estado seguro, eliminando cualquier presencia maliciosa y reforzando las vulnerabilidades.

Ataque 2

Se llevó a cabo la supervisión continua de actividades no autorizadas, evaluando el alcance del movimiento lateral y el reconocimiento.

Investigación adicional para identificar las herramientas y técnicas utilizadas por el autor de la amenaza.

Se implementaron medidas de seguridad adicionales para mitigar los riesgos, incluido el bloqueo del acceso a herramientas específicas y la actualización de las políticas de seguridad.

Se identificaron los datos filtrados, se restauraron los sistemas afectados y se identificaron y corrigieron las vulnerabilidades.

Ataque 3

Se evaluó el impacto de los intentos de acceso no autorizado a un dominio virtualizado de terceros, evaluando la exposición y los riesgos potenciales.

Investigación adicional para determinar el alcance del acceso no autorizado y la posible filtración de datos.

Se protegió el dominio de terceros, implementando controles de acceso más estrictos y realizando evaluaciones de seguridad.

Se comenzó a identificar los datos filtrados y a restaurar el dominio de terceros a un estado seguro, identificando y corrigiendo las vulnerabilidades.

Se reforzó la postura de seguridad del dominio de terceros, implementando controles de seguridad adicionales y realizando auditorías periódicas.

Ataque 4

Se midió el impacto y se evaluó la exposición potencial del acceso no autorizado a los archivos de uso compartido y a las operaciones de correo electrónico.

Investigación adicional para identificar las cuentas implicadas y el alcance de los datos a los que se ha accedido o que se han manipulado.

Se protegieron las cuentas y los sistemas afectados, restableciendo las contraseñas e implementando controles de acceso y supervisión adicionales.

Se recuperaron los datos vulnerados y se restablecieron las cuentas y los sistemas afectados, identificando y corrigiendo las vulnerabilidades.

Se mejoraron las medidas de protección de datos, implementando controles de prevención de pérdida de datos y reforzando los protocolos de seguridad del correo electrónico.

Ataque 5

Se midió el impacto general de la intrusión en la red y la eficacia de las medidas de seguridad, evaluando la preparación para prevenir futuros incidentes.

Se identificaron las vulnerabilidades restantes o las posibles áreas de mejora, revisando el proceso de IR y las políticas de seguridad.

Se implementaron controles de seguridad adicionales, se realizaron pruebas de penetración y se mejoraron las capacidades de supervisión.

Supervisión continua y detección proactiva de amenazas para garantizar que los sistemas no sufrieran accesos no autorizados.

Se utilizaron las lecciones aprendidas para impulsar mejoras a largo plazo en las prácticas de seguridad y se realizó una capacitación y evaluaciones de seguridad periódicas.

Last trigger point

Respuesta ante incidentes basada en amenazas

Gracias al equipo de respuesta ante incidentes de Unit 42, manténgase por delante de las amenazas y fuera de las noticias. Investigue, contenga y recupérese de los incidentes más rápidamente y salga más fortalecido que nunca, respaldado por todo el poder de la empresa líder mundial en ciberseguridad. Póngase en contacto con nosotros para obtener tranquilidad.

Con el respaldo de los mejores del sector

  • Threat Intel logo icon
    Inteligencia de amenazas

    Amplia telemetría e inteligencia para acelerar la investigación y la corrección.

  • Technology icon
    Tecnología

    Plataforma de Palo Alto Networks para una visibilidad en profundidad a fin de encontrar, contener y eliminar amenazas más rápidamente, con interrupciones limitadas.

  • Experience symbol
    Experiencia

    Expertos de confianza que se movilizan rápidamente y actúan con decisión en más de 1000 incidentes por año.