Una multinacional se defiende de un ciberataque de Muddled Libra de varias fases

La empresa recurrió a los servicios de Unit 42® para investigar un ataque complejo que incluía ingeniería social, la explotación de herramientas de seguridad y el robo de datos.

Result
ados
4días

Para identificar, contener y expulsar al actor de amenazas.

<1día

Para identificar TTP nuevos de un actor de amenazas de reciente aparición, lo que ayuda a contener incidentes futuros más rápido.

16minutos

Desde que Cortex XDR® bloqueó un segundo ataque por fuerza bruta hasta que el equipo de MDR de Unit 42 respondió a él y recomendó medidas de defensa.

El cliente

Multinacional de externalización de procesos de negocio

El reto

El cliente fue víctima de un ciberataque sofisticado ejecutado por Muddled Libra. Los cinco ataques perpetrados en el espacio de una semana demostraron la capacidad de este actor de amenazas de adaptarse y encontrar nuevas vías para infiltrarse en la red; por ejemplo, utilizando las propias herramientas de seguridad de la víctima para desplazarse lateralmente y propagar aún más el ataque. Se recurrió a Unit 42 con los siguientes objetivos:

  • Investigar varios intentos de ataque y responder a ellos.
  • Tomar medidas de contención y corrección con una estrategia de seguridad integral.
  • Poner en práctica sus vastos conocimientos sobre el actor de amenazas para implementar medidas de seguridad sólidas.

El riguroso método de respuesta a incidentes de Unit 42 ofrece unos resultados superiores

Evaluación

Evaluó los entornos para detectar indicios de accesos no autorizados y actividad sospechosa con el objetivo de determinar el alcance y el impacto de los ataques.

Investigación

Unit 42 realizó una investigación exhaustiva y recabó pruebas para identificar los sistemas y cuentas afectados rápidamente.

Protección

Aconsejó al cliente proteger los sistemas y cuentas en riesgo, empezar a reconstruir Active Directory, aislar de inmediato los sistemas afectados, cambiar las contraseñas y reforzar los cortafuegos.

Recuperación

La prioridad fue restablecer la seguridad de los sistemas afectados, aplicar parches y corregir las vulnerabilidades de la red.

Transformación

El cliente trabajó con Unit 42 para aprender de los errores y promover mejoras continuas en sus prácticas de seguridad, lanzar campañas de concienciación y realizar evaluaciones de seguridad periódicas.

First trigger point

Evaluación

Investigación

Protección

Recuperación

Transformación

Desplazarse a la derecha

Cronología de las acciones de corrección

Evaluación

Investigación

Protección

Recuperación

Transformación

Ataque 1

Detectó los indicios iniciales de accesos no autorizados y actividad sospechosa, y evaluó el alcance y el impacto de la intrusión.

Investigó las pruebas digitales para determinar qué sistemas y cuentas se habían visto afectados.

Protegió las cuentas en riesgo, aisló los sistemas atacados, inició la reconstrucción de Active Directory y reforzó los cortafuegos.

Restableció la seguridad de los sistemas afectados, con lo que eliminó la presencia de cualquier agente malicioso y corrigió las vulnerabilidades.

Ataque 2

Supervisó continuamente el entorno para detectar posibles actividades no autorizadas, lo que incluyó la evaluación del alcance del movimiento lateral y las acciones de reconocimiento.

Siguió investigando para identificar las herramientas y técnicas utilizadas por el actor de amenazas.

Implementó medidas de seguridad adicionales para mitigar los riesgos, como el bloqueo del acceso a determinadas herramientas y la actualización de las políticas de seguridad.

Identificó los datos exfiltrados, restableció los sistemas afectados y detectó y corrigió las vulnerabilidades.

Ataque 3

Evaluó el impacto de los intentos de acceso no autorizado a un dominio virtualizado externo, así como los posibles riesgos y exposiciones.

Siguió investigando para determinar el alcance del acceso no autorizado y la posible exfiltración de datos.

Protegió el dominio externo con la implementación de controles de acceso más estrictos y evaluaciones de seguridad.

Empezó a identificar los datos exfiltrados y a restablecer la seguridad del dominio externo, detectando y corrigiendo las vulnerabilidades.

Reforzó la estrategia de seguridad del dominio externo mediante la implementación de controles de seguridad adicionales y la realización de auditorías periódicas.

Ataque 4

Evaluó el impacto y el riesgo de exposición derivados del acceso no autorizado al intercambio de archivos y las operaciones de correo electrónico.

Siguió investigando para identificar las cuentas afectadas y determinar a qué datos se había accedido o se habían manipulado.

Protegió las cuentas y los sistemas afectados mediante el restablecimiento de contraseñas y la implementación de controles de supervisión y acceso adicionales.

Recuperó los datos que habían sufrido el ataque y restableció las cuentas y los sistemas afectados, para lo cual detectó y corrigió las vulnerabilidades.

Mejoró las medidas de protección de datos mediante la implementación de controles de prevención de pérdida de datos y el refuerzo de los protocolos de seguridad para el correo electrónico.

Ataque 5

Evaluó el impacto global de la intrusión en la red y la eficacia de las medidas de seguridad, así como el nivel de preparación de la empresa para responder a incidentes en el futuro.

Detectó cualquier otra vulnerabilidad o área de mejora que quedase, revisando para ello los procesos de IR y las políticas de seguridad.

Implementó controles de seguridad adicionales, realizó pruebas de penetración y mejoró las funciones de supervisión.

Llevó a cabo tareas de supervisión continua y búsqueda de amenazas proactiva para garantizar que no se produjesen accesos no autorizados a los sistemas.

Utilizó lo aprendido para promover mejoras a largo plazo en las prácticas de seguridad y realizó evaluaciones de seguridad periódicas, además de ofrecer formación en la materia con frecuencia.

Last trigger point

Respuesta a incidentes basada en la inteligencia sobre amenazas

Con el servicio de respuesta a incidentes de Unit 42, se adelantará a las amenazas y evitará apariciones no deseadas en los medios de comunicación. Investigue y contenga los incidentes más rápido para que su empresa se recupere antes de ellos y salga fortalecida de la crisis gracias a las ventajas que ofrece trabajar con la empresa de ciberseguridad líder a nivel mundial. Póngase en contacto con nosotros y gane en tranquilidad.

Un servicio con los mejores recursos del sector

  • Threat Intel logo icon
    Inteligencia sobre amenazas

    Grandes cantidades de datos de telemetría e inteligencia para acelerar la investigación y la corrección.

  • Technology icon
    Tecnología

    La plataforma de Palo Alto Networks ofrece visibilidad total para encontrar, contener y eliminar las amenazas más rápido, y evitando la interrupción de las operaciones.

  • Experience symbol
    Experiencia

    Expertos de confianza que pasan a la acción enseguida y actúan con decisión en más de mil incidentes al año.