Un acteur public majeur éradique un ransomware et rétablit ses services critiques

Grâce à l’équipe Unit 42® , le client a rapidement stoppé l’attaque, restauré ses systèmes critiques et tenu des points de situation réguliers avec les instances dirigeantes de l’État.

Résultats
3jours

pour endiguer et éradiquer complètement la menace

7jours

pour restaurer les services critiques

3points de situation

aux ministres et hauts dirigeants pour instaurer une relation de confiance et de collaboration

Client

Pouvoirs publics

Les enjeux

Lorsqu’une attaque par ransomware a fortement perturbé ses opérations, cette institution gouvernementale a tout naturellement fait appel à Unit 42. Notre équipe s’est alors mobilisée d’urgence pour évaluer, investiguer, sécuriser et restaurer les systèmes affectés. Unit 42 a aidé le client à :

  • Mesurer l’ampleur des dégâts
  • Identifier l’attaquant
  • Déployer un plan de restauration pour rétablir au plus vite les services administratifs

Unit 42 : une approche rigoureuse et efficace de la réponse à incident

Évaluation

80 % des systèmes avaient été chiffrés et paralysés par le ransomware. L’équipe Unit 42 s’est donc appuyée sur Cortex Xpanse® pour cartographier l’ensemble de l’environnement et ainsi déterminer l’étendue de l’impact.

Investigation

L’analyse forensique a révélé que des identifiants compromis sur une application traditionnelle d’accès à distance ont permis l’accès initial au réseau

Sécurité

Instauration d’un nouvel environnement intègre et restauration des services réseau essentiels

Restauration

Restauration des systèmes critiques(service des douanes, télécommunications et gestion de la paie) pour rétablir les opérations vitales de l’État

Transformation

Examen de la stratégie de sécurité et renforcement de la protection des terminaux avec Cortex XDR®, rempart essentiel contre les menaces connues et inconnues.

« La collaboration avec l’équipe Unit 42 s’est très bien passée. Leur expérience et leur connaissance de l’attaquant ont été de précieux atouts pour résoudre l’incident dans les meilleurs délais. »

DSI

First trigger point

Évaluation

Investigation

Sécurisation

Restauration

Transformation

Faites défiler à droite

Chronologie de la résolution

Évaluation

Investigation

Sécurisation

Restauration

Transformation

Jours 0 à 4
Intervention d’urgence

Recensement des systèmes chiffrés (80 % en tout), et utilisation de Cortex Xpanse pour cartographier la surface d’attaque

Déploiement de Cortex XDR pour collecter les données forensiques et étendre la visibilité

Endiguement de la menace, mise en quarantaine des systèmes touchés et démarrage de la restauration

Rétablissement des services web et de messagerie non touchés après endiguement de la menace

Jours 5 à 7
Déchiffrement

Définition du périmètre, de la sévérité et de la nature de l’incident grâce aux capacités d’analyse forensique de Cortex XDR

Identification du mode d’accès initial, à savoir l’exploitation d’identifiants compromis pour s’infiltrer dans un système traditionnel d’accès à distance

Création d’un nouvel environnement pour la restauration et rétablissement des services réseau essentiels.

Début du déchiffrement et de la restauration des systèmes critiques (douanes, télécommunications, gestion de la paie et service des permis de conduire)

Jours 8 à 14
Restauration

Recensement complet des données exfiltrées

Extension du déploiement de Cortex XDR à plus de 90 % de l’environnement

Poursuite du déchiffrement des systèmes et restauration des accès aux services non critiques

Évaluation de la surface d’attaque et résolution des failles de sécurité identifiées

Jours 15 à 30
Fortification

Déploiement des services managés de threat hunting d’Unit 42 pour un environnement libre de toute menace infiltrée

Finalisation de la restauration et rétablissement de la haute disponibilité des systèmes critiques

Remplacement du système d’accès à distance existant par Prisma Access® ZTNA.

Last trigger point

Réponse à incident basée sur la Threat Intelligence

L’équipe de réponse à incident Unit 42vous aide à devancer les menaces pour mieux protéger votre entreprise. En collaborant avec le leader mondial de la cybersécurité, vous investiguez, endiguez et récupérez plus rapidement que jamais pour sortir renforcé de la crise et évoluer en toute sérénité.

L’excellence, à tous les niveaux

  • Threat Intel logo icon
    Threat Intelligence

    Les données télémétriques et les flux CTI accélèrent l’investigation et la remédiation

  • Technology icon
    Technologie

    La plateforme Palo Alto Networks offre une visibilité approfondie pour détecter, contenir et éliminer rapidement les menaces, tout en limitant les perturbations de l’activité

  • Experience symbol
    Expérience

    Nos experts de confiance se mobilisent rapidement pour résoudre plus de 1 000 incidents par an