Un proveedor de telecomunicaciones contiene un ataque de Black Basta y restablece las operaciones

El cliente acudió a Unit 42®para determinar el alcance del acceso no autorizado, negociar el pago del rescate y erradicar la amenaza.

Resultados
Reto
Acciones
Contacte con nosotros
Result
ados
3días

Para determinar el vector de ataque en un entorno con 50 000 endpoints.

80%Reducción del

En la suma del rescate gracias a la negociación de expertos.

2días

Para contener la amenaza y garantizar la continuidad de las operaciones de la empresa.

El cliente

Empresa de telecomunicaciones que presta servicio a millones de clientes

El reto

El cliente sufrió un grave ataque de ransomware que se alargó durante 13 horas y que cifró archivos en decenas de miles de sistemas, exfiltró datos confidenciales y paralizó el 50 % de las operaciones de la empresa. El cliente acudió a Unit 42 con los siguientes objetivos:

  • Contener la amenaza y evitar que se exfiltrasen más datos.
  • Abatir al actor de amenazas.
  • Investigar la causa original y obtener ayuda para restablecer las operaciones de la empresa.

El riguroso método de respuesta a incidentes de Unit 42 ofrece unos resultados superiores

Evaluación

El cliente se dio cuenta de que había sufrido un ataque de ransomware cuando detectó archivos cifrados y notas de rescate en su entorno corporativo. Unit 42 tardó solo dos horas en comenzar a evaluar el ataque.

Investigación

Gracias a la investigación forense y la búsqueda de amenazas, identificó rápidamente el ransomware de Black Basta, encontró el correo electrónico de phishing inicial y determinó el alcance del acceso no autorizado.

Protección

Implementó Cortex XDR®en menos de 96 horas para garantizar la contención del ataque. Esto permitió al equipo de MDR de Unit 42 empezar a supervisar y buscar amenazas de manera ininterrumpida.

Recuperación

Negoció una reducción del 80 % en la suma del rescate que se había exigido inicialmente. También obtuvo claves de descifrado, las cuales probó e implementó.

Transformación

Identificó lagunas en la segmentación de la red, el control de credenciales, la protección del endpoint y la visibilidad de la seguridad, además de implementar cortafuegos y tecnologías de control de acceso adicionales.

First trigger point

Evaluación

Investigación

Protección

Recuperación

Transformación

Desplazarse a la derecha

Cronología de las acciones de corrección

Evaluación

Investigación

Protección

Recuperación

Transformación

Días 0-4
Intervención en la crisis

Implementó Cortex XDR y Xpanse® para obtener visibilidad en toda la empresa y recopilar información para los indicadores y la investigación forense.

Unit 42 utilizó su inteligencia sobre amenazas para identificar los TTP e IoC de Black Basta y estrechar el cerco en torno al atacante.

Se puso en contacto con el actor de amenazas y negoció una reducción del 80 % en la suma del rescate que se había exigido inicialmente.

Estableció una conectividad segura para los sitios no afectados.

Días 5-7
Descifrado

Descubrió el alcance, la gravedad y la naturaleza del incidente mediante los análisis de investigación forense de Cortex XDR.

Identificó la causa original (un correo electrónico de phishing de QBot) y evaluó el alcance de la exfiltración de datos.

Implementó medidas de contención y segmentación de la red en la sede central del cliente mediante cortafuegos NGFW y funciones de descifrado/inspección SSL.

Empezó a descifrar archivos con una herramienta de descifrado de terceros y terminó de restablecer las credenciales de toda la red.

Días 8-14
Restablecimiento

Identificó todo el repertorio de actividades que había llevado a cabo el actor de amenazas en el entorno afectado.

Contuvo totalmente al actor de amenazas y lo expulsó del entorno.

Restableció las operaciones críticas de la empresa y trasladó los esfuerzos de descifrado a los sistemas de apoyo de menor prioridad.

Estableció una conexión segura a sitios remotos con Prisma Access.

Días 15-30
Refuerzo

Las funciones de IR y MDR siguieron funcionando de forma ininterrumpida. Empezó a corregir las vulnerabilidades detectadas en la identificación de activos de Xpanse.

Siguió reconstruyendo y restableciendo las estaciones de trabajo y los servidores afectados.

Implementó Cortex XDR en toda la empresa y sus más de 30 000 endpoints para garantizar la exhaustividad de la visibilidad, las alertas y la protección. /p>

Last trigger point

Respuesta a incidentes basada en la inteligencia sobre amenazas

Con el servicio de respuesta a incidentes de Unit 42, se adelantará a las amenazas y evitará apariciones no deseadas en los medios de comunicación. Investigue y contenga los incidentes más rápido para que su empresa se recupere antes de ellos y salga fortalecida de la crisis gracias a las ventajas que ofrece trabajar con la empresa de ciberseguridad líder a nivel mundial. Póngase en contacto con nosotros y gane en tranquilidad.

HABLAR CON UN EXPERTO HOY

Un servicio con los mejores recursos del sector

  • Threat Intel logo icon
    Inteligencia sobre amenazas

    Grandes cantidades de datos de telemetría e inteligencia para acelerar la investigación y la corrección.

  • Technology icon
    Tecnología

    La plataforma de Palo Alto Networks ofrece visibilidad total para encontrar, contener y eliminar las amenazas más rápido, y evitando la interrupción de las operaciones.

  • Experience symbol
    Experiencia

    Expertos de confianza que pasan a la acción enseguida y actúan con decisión en más de mil incidentes al año.

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas