Telekommunikationsanbieter dämmt Black-Basta-Angriff ein und nimmt Betrieb wieder auf

Der Kunde beauftragte Unit 42®, das Ausmaß des unbefugten Zugriffs zu ermitteln, ein Lösegeld auszuhandeln und die Bedrohung zu beheben.

Fazit
Herausforderung
Ergebnisse
Wenden Sie sich an uns
Fazit
3Tage

zur Ermittlung des Angriffsvektors in einer Umgebung mit 50.000 Endpunkten

80%weniger

Lösegeld durch geschickte Verhandlungen

2Tage

zur Eindämmung der Bedrohung und Gewährleistung der Geschäftskontinuität

Der Kunde

Ein Telekommunikationsunternehmen mit Millionen von Kunden

Die Herausforderung

Bei einem schwerwiegenden 13-stündigen Ransomwareangriff wurden Dateien auf Zehntausenden von Systemen verschlüsselt, sensible Daten ausgeschleust und 50 % der Geschäftsprozesse lahmgelegt. Der Kunde beauftragte Unit 42:

  • die Bedrohung einzudämmen und die Ausschleusung weiterer Daten zu verhindern,
  • die Angreifer aus der Umgebung zu entfernen,
  • die Ursache zu finden und die Wiederaufnahme des Geschäftsbetriebs zu unterstützen.

Der rigorose Incident-Response-Ansatz von Unit 42 liefert hervorragende Ergebnisse

Beurteilung

Der Kunde bemerkte den Ransomwareangriff, als verschlüsselte Dateien und Lösegeldforderungen in der Unternehmensumgebung auftauchten. Unit 42 begann innerhalb von zwei Stunden mit der Beurteilung des Angriffs.

Untersuchung

Kurze Zeit später hatten Forensiker und Bedrohungsexperten die Ransomware Black Basta, die erste Phishing-E-Mail und das Ausmaß der unbefugten Zugriffe aufgedeckt.

Sicherung

Innerhalb von 96 Stunden wurde Cortex XDR® für die gesamte betroffene Umgebung bereitgestellt, damit der Angriff eingedämmt werden und das MDR-Team von Unit 42 mit der Rund-um-die-Uhr-Überwachung und -Bedrohungssuche beginnen konnte.

Wiederherstellung

Das ursprünglich geforderte Lösegeld wurde um 80 % heruntergehandelt und die zur Entschlüsselung benötigten Schlüssel beschafft, getestet und implementiert.

Verbesserung

Bei der Netzwerksegmentierung, dem Schutz von Anmeldedaten, der Endpunktsicherung und der Transparenz wurden Lücken identifiziert und durch die Implementierung zusätzlicher Firewalls und Zugangskontrolltechnologien geschlossen.

First trigger point

Beurteilung

Untersuchung

Sicherung

Wiederherstellung

Verbesserung

Scroll right

Einsatzverlauf

Beurteilung

Untersuchung

Sicherung

Wiederherstellung

Verbesserung

Tage 0–4
Krisenmanagement

Cortex XDR und Xpanse® unternehmensweit implementiert, um die zur Erfassung von Indikatoren und Forensikdaten erforderliche Transparenz zu erreichen

Black Basta mithilfe von Threat Intelligence von Unit 42 aufgrund seiner TTPs und Gefahrenindikatoren als Angreifer identifiziert

Angreifer kontaktiert und ursprüngliche Lösegeldforderung um 80 % heruntergehandelt

Sichere Verbindungen zu nicht betroffenen Standorten etabliert

Tage 5–7
Entschlüsselung

Ausmaß, Schweregrad und Art des Vorfalls durch forensische Analyse mit Cortex XDR ermittelt

Qbot-Phishing-E-Mail als Auslöser identifiziert, Ausmaß der Datenausschleusung ermittelt

NGFWs mit aktivierter SSL-Entschlüsselung und -Analyse zur Netzwerksegmentierung und Eindämmung am Hauptsitz des Kunden implementiert

Entschlüsselung mit Drittanbietertool eingeleitet, netzwerkweites Rücksetzen aller Kennwörter abgeschlossen

Tage 8–14
Wiederherstellung

Alle Angreiferaktivitäten in der betroffenen Umgebung identifiziert

Angreifer vollständig isoliert und aus der Umgebung entfernt

Kritische Geschäftsprozesse wiederaufgenommen, Entschlüsselung auf Supportsystemen mit niedrigerer Priorität begonnen

Sichere Verbindungen zu Remotestandorten mit Prisma Access etabliert

Tage 15–30
Härtung

IR und MDR bleiben für Rund-um-die-Uhr-Überwachung aktiviert Behebung der beim Xpanse Network Mapping identifizierten Schwachstellen eingeleitet

Wiederaufbau bzw. Wiederherstellung der betroffenen Server und Workstations fortgesetzt

Umfassende Transparenz, Alarmgenerierung und Sicherung durch die Bereitstellung von Cortex XDR auf über 30.000 Endpunkten unternehmensweit etabliert

Last trigger point

Datengestützte Incident Response

Mit den Incident-Response-Services von Unit 42, können Sie Bedrohungen einen Schritt vorausbleiben und sich aus den Schlagzeilen halten. Dank der vollen Unterstützung eines branchenführenden Cybersicherheitsunternehmens können Sie Vorfälle schneller untersuchen, eindämmen und beheben und gestärkt aus ihnen hervorgehen. Kontaktieren Sie uns – für eine Sorge weniger.

SPRECHEN SIE NOCH HEUTE MIT EINEM EXPERTEN

Mit branchenführender

  • Threat Intel logo icon
    Threat Intelligence

    Reichhaltige Telemetriedaten und Threat Intelligence beschleunigen die Untersuchung und Behebung

  • Technology icon
    Technologie

    Die Plattform von Palo Alto Networks bietet eine detaillierte Übersicht, mit der Bedrohungen schneller aufgedeckt und blockiert und Betriebsstörungen reduziert werden können.

  • Experience symbol
    Erfahrung und Expertise

    Sichern Sie sich die Unterstützung renommierter Experten, die über 1.000 Vorfälle pro Jahr schnell und effektiv beheben.

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen