Un opérateur télécom contient l’attaque Black Basta et rétablit ses activités

Le client a fait appel à l’équipe Unit 42® pour déterminer l’étendue des accès non autorisés, négocier le paiement de la rançon et éradiquer la menace.

Résultats
3jours

pour déterminer le vecteur d’attaque dans un environnement composé de 50 000 terminaux

80%Réduction de

du montant de la rançon grâce à nos négociateurs aguerris

2jours

pour contenir la menace et assurer la continuité de ses opérations

Le client

Opérateur télécom comptant des millions de clients

Les enjeux

Le client a été victime d’un ransomware qui a paralysé 50 % de ses opérations. En 13 heures, les cybercriminels ont chiffré les fichiers de dizaines de milliers de systèmes et exfiltré ses données sensibles. C’est dans ce contexte que l’entreprise a demandé à l’équipe Unit 42 d’intervenir pour :

  • Endiguer la menace et empêcher toute exfiltration supplémentaire de données
  • Neutraliser l’attaquant
  • Remonter jusqu’à la cause racine et rétablir ses opérations

Unit 42 : une approche rigoureuse et efficace de la réponse à incident

Évaluation

Le client a pris conscience de l’attaque par ransomware en trouvant des fichiers chiffrés accompagnés d’une demande de rançon dans son environnement d’entreprise. L’équipe Unit 42 a commencé son évaluation de l’attaque en moins de deux heures.

Investigation

L’analyse forensique et le threat hunting ont rapidement identifié le ransomware Black Basta, l’e-mail de phishing initial et les accès non autorisés

Sécurité

Cortex XDR® a été déployé dans l’environnement touché en moins de 96 heures pour contenir l’attaque, ce qui a permis à l’équipe Unit 42 MDR d’entamer ses opérations de surveillance et de threat hunting 24 h/7 j

Restauration

Négociation d’une réduction de 80 % de la rançon par rapport au montant initial, suivi de la récupération, des tests et de l’exécution de clés de déchiffrement

Transformation

Identification de failles dans la segmentation réseau, le contrôle des identifiants, la sécurité des terminaux et la visibilité sur la sécurité, puis déploiement de solutions de pare-feu et de contrôle des accès supplémentaires

First trigger point

Évaluation

Investigation

Sécurisation

Restauration

Transformation

Faites défiler à droite

Chronologie de la résolution

Évaluation

Investigation

Sécurisation

Restauration

Transformation

Jours 0 à 4
Intervention d’urgence

Déploiement de Cortex XDR et Xpanse® pour étendre la visibilité à toute l’entreprise, puis collecter des données forensiques et indicateurs de compromission (IoC)

Utilisation de la Threat Intelligence d’Unit 42 pour identifier les TTP et IoC de Black Basta, puis resserrer rapidement l’étau sur l’attaquant

Prise de contact avec l’attaquant et négociation de 80 % de réduction sur le montant de la rançon initiale

Établissement d’une connectivité sécurisée pour les sites non touchés

Jours 5 à 7
Déchiffrement

Définition du périmètre, de la sévérité et de la nature de l’incident grâce à l’analyse forensique de Cortex XDR

Identification de l’e-mail de phishing Qbot comme cause racine et évaluation du volume de données exfiltrées

Segmentation du réseau au siège de l’entreprise à l’aide de passerelles NGFW avec déchiffrement/inspection SSL

Début du déchiffrement par une solution tierce et réinitialisation des identifiants sur l’ensemble du réseau

Jours 8 à 14
Restauration

Mesure de l’étendue de l’activité malveillante dans l’environnement touché

Endiguement complet et éviction de l’attaquant de l’environnement

Rétablissement des opérations critiques, migration des activités de déchiffrement vers des systèmes de support moins prioritaires

Sécurisation des connexions des sites distants avec Prisma Access

Jours 15 à 30
Fortification

Maintien des services IR et MDR pour une surveillance 24 h/7 j Lancement de la correction des vulnérabilités identifiées dans la cartographie Xpanse

Poursuite de la reconstruction et de la restauration des serveurs et postes de travail affectés

Déploiement de Cortex XDR sur plus de 30 000 terminaux pour une visibilité, des alertes et une protection complètes

Last trigger point

Réponse à incident basée sur la Threat Intelligence

L’équipe de réponse à incident Unit 42 vous aide à devancer les menaces pour mieux protéger votre entreprise. En collaborant avec le leader mondial de la cybersécurité, vous investiguez, endiguez et récupérez plus rapidement que jamais pour sortir renforcé de la crise et évoluer en toute sérénité.

L’excellence, à tous les niveaux :

  • Threat Intel logo icon
    Threat Intelligence

    Les données télémétriques et les flux CTI accélèrent l’investigation et la remédiation

  • Technology icon
    Technologie

    La plateforme Palo Alto Networks offre une visibilité approfondie pour détecter, contenir et éliminer rapidement les menaces, tout en limitant les perturbations de l’activité

  • Experience symbol
    Expérience

    Nos experts de confiance se mobilisent rapidement pour résoudre plus de 1 000 incidents par an