Une entreprise multinationale repousse une cyberattaque multiphase du groupe Muddled Libra

L’équipe Unit 42® est intervenue pour investiguer une attaque complexe impliquant ingénierie sociale, exploit d’outils de sécurité et vol de données

Résultats
4jours

Pour identifier, endiguer et éradiquer la menace

<1jour

Pour identifier les nouveaux modes opératoires du groupe émergent en vue d’accélérer la résolution de futurs incidents

16minutes

Délai entre le blocage par Cortex XDR®d’une deuxième attaque par force brute et la réponse et les recommandations de sécurité de l’équipe MDR Unit 42

Client

Acteur mondial des services BPO

Les enjeux

Le client a été visé par une cyberattaque sophistiquée menée par Muddled Libra. Les attaquants ont lancé cinq offensives en une semaine, prouvant qu’ils étaient capables de s’adapter pour trouver de nouvelles failles dans le réseau. Ils ont notamment utilisé les propres outils de sécurité de l’entreprise pour se latéraliser et pousser encore plus loin la compromission. Les experts Unit 42 ont été mobilisés pour :

  • Investiguer et répondre aux multiples tentatives d’attaque
  • Endiguer et neutraliser la menace, en déployant une approche de sécurité globale
  • Exploiter leur connaissance aiguisée des attaquants pour implémenter des mesures de sécurité robustes

Unit 42 : une approche rigoureuse et efficace de la réponse à incident

Évaluation

Nos experts ont analysé les environnements pour identifier les signes d’accès non autorisés et d’activités suspectes, afin de déterminer l’ampleur et l’impact des attaques.

Investigation

Unit 42 a réalisé une investigation étendue et recueilli les preuves nécessaires pour identifier rapidement les systèmes et les comptes impactés.

Sécurité

L’équipe a fourni au client plusieurs recommandations: sécuriser les comptes et systèmes compromis, démarrer une reconstruction Active Directory, isoler immédiatement les systèmes impactés, changer les mots de passe et renforcer les pare-feu.

Restauration

La priorité était de restaurer les systèmes concernés dans un état sécurisé, d’appliquer des correctifs et de renforcer la protection contre les vulnérabilités réseau.

Transformation

Le client a ensuite travaillé avec Unit 42 pour améliorer en continu sa stratégie de défense, organiser des formations de sensibilisation et réaliser des évaluations régulières de la sécurité, le tout sur la base des enseignements tirés de l’incident.

First trigger point

Évaluation

Investigation

Sécurité

Restauration

Transformation

Faites défiler à droite

Chronologie de la résolution

Évaluation

Investigation

Sécurité

Restauration

Transformation

Attaque 1

Identification des premiers signes d’accès non autorisés et d’activités suspectes pour déterminer l’ampleur et l’impact des attaques.

Investigation des preuves numériques pour identifier les systèmes et comptes impactés.

Sécurisation des comptes et isolement des systèmes compromis, démarrage de la reconstruction Active Directory et renforcement des pare-feu.

Restauration des systèmes impactés dans un état sécurisé, éradication de la présence malveillante et renforcement de la protection contre les vulnérabilités.

Attaque 2

Surveillance continue des activités non autorisées ; évaluation de la portée des opérations de latéralisation et de reconnaissance.

Investigation approfondie pour identifier les outils et techniques utilisés par les attaquants.

Implémentation de mesures supplémentaires pour limiter les risques, avec blocage des accès à certains outils et mise à jour des politiques de sécurité.

Identification des données exfiltrées ; rétablissement des systèmes impactés ; détection et correction des vulnérabilités.

Attaque 3

Analyse des tentatives d’accès non autorisées à un domaine tiers virtualisé ; évaluation des risques et de l’exposition potentielle.

Investigation approfondie pour déterminer l’ampleur des accès non autorisés et des éventuelles exfiltrations de données.

Sécurisation du domaine tiers, renforcement des contrôles d’accès et évaluations de la sécurité.

Identification des données exfiltrées ; restauration du domaine tiers dans un état sécurisé ; détection et correction des vulnérabilités.

Renforcement de la posture de sécurité du domaine tiers ; implémentation de contrôles de sécurité supplémentaires et d’audits réguliers.

Attaque 4

Évaluation de l’impact et de l’exposition potentielle après des accès non autorisés au partage de fichiers et aux e-mails.

Investigation approfondie pour identifier les comptes concernés et l’ampleur des données consultées ou manipulées.

Sécurisation des comptes et systèmes impactés ; réinitialisation des mots de passe ; implémentation d’une surveillance et de contrôles d’accès supplémentaires.

Récupération des données compromises ; rétablissement des comptes et systèmes ; identification et correction des vulnérabilités.

Optimisation des mesures de protection des données, implémentation de contrôles DLP et renforcement des protocoles de sécurité des e-mails.

Attaque 5

Analyse de l’impact global de l’intrusion réseau et de l’efficacité des mesures de sécurité ; évaluation de l’état de préparation aux futurs incidents.

Identification des vulnérabilités restantes ou d’autres domaines d’amélioration ; examen des processus IR et des politiques de sécurité.

Implémentation de contrôles de sécurité additionnels, tests d’intrusion et optimisation du monitoring.

Surveillance continue et threat hunting proactif pour vérifier que les accès non autorisés aux systèmes ont été intégralement bloqués.

Utilisation des enseignements tirés de l’incident pour impulser des améliorations stratégiques durables, avec formations et évaluations régulières de la sécurité.

Last trigger point

Réponse à incident basée sur la Threat Intelligence

L’équipe de réponse à incident Unit 42vous aide à devancer les menaces pour mieux protéger votre entreprise. En collaborant avec le leader mondial de la cybersécurité, vous investiguez, endiguez et récupérez plus rapidement que jamais pour sortir renforcé de la crise et évoluer en toute sérénité.

L’excellence, à tous les niveaux

  • Threat Intel logo icon
    Threat Intelligence

    Les données télémétriques et les flux CTI accélèrent l’investigation et la remédiation

  • Technology icon
    Technologie

    La plateforme Palo Alto Networks offre une visibilité approfondie pour détecter, contenir et éliminer rapidement les menaces, tout en limitant les perturbations de l’activité

  • Experience symbol
    Expérience

    Nos experts de confiance se mobilisent rapidement pour résoudre plus de 1 000 incidents par an