Multinationaler Konzern wehrt mehrstufigen Cyberangriff von Muddled Libra ab

Unit 42® wurde mit der Untersuchung eines komplexen Angriffs beauftragt, bei dem Social Engineering genutzt und Sicherheitstools missbraucht wurden, um Daten zu stehlen.

Fazit
Herausforderung
Ergebnisse
Wenden Sie sich an uns
Fazit
4Tage

zum Identifizieren, Isolieren und Entfernen der Bedrohung

<1Tag

zum Identifizieren neuer TTPs des Angreifers, die zur schnelleren Eindämmung der folgenden Vorfälle beitrug

16Minuten

nachdem Cortex XDR® einen zweiten Brute-Force-Angriff blockiert hatte, empfahl das MDR-Team von Unit 42 Abwehrmaßnahmen.

Der Kunde

Ein global agierender Outsourcinganbieter für Geschäftsprozesse

Die Herausforderung

The client was the target of a sophisticated cyberattack executed by Muddled Libra. Five attacks within a one-week period demonstrated the threat actor’s ability to adapt and find new pathways into the network, including using the victim’s own security tools for lateral movement and further compromise. Unit 42 was brought in to:

  • die verschiedenen Angriffsversuche zu untersuchen und zu stoppen,
  • den entstandenen Schaden einzudämmen und zu beheben, wobei ein holistischer Ansatz umgesetzt werden sollte,
  • die detaillierten Kenntnisse des Teams über die Täter zu nutzen, um robuste Sicherheitsmaßnahmen zu implementieren.

Der rigorose Incident-Response-Ansatz von Unit 42 liefert hervorragende Ergebnisse

Beurteilung

Die Umgebungen wurden nach Anzeichen für unbefugten Zugriff und verdächtige Aktivitäten durchsucht, um Ausmaß und Auswirkungen der Angriffe zu ermitteln.

Untersuchung

Mit einer umfassenden Untersuchung konnte Unit 42 die betroffenen Systeme und Konten rasch identifizieren und Beweise sammeln.

Sicherung

Dem Kunden wurde empfohlen, kompromittierte Konten und Systeme zu sichern, den Wiederaufbau von Active Directory einzuleiten, die betroffenen Systeme sofort zu isolieren, Kennwörter zu ändern und die Firewalls zu härten.

Wiederherstellung

Das Zurücksetzen der betroffenen Systeme in einen sicheren Zustand, das Einspielen von Patches und die Behebung von Netzwerkschwachstellen waren die dringendsten Aufgaben.

Verbesserung

Unterstützt von Unit 42 nutzte der Kunde die gesammelten Erfahrungen, um fortlaufende Verbesserungen seiner Sicherheitspraktiken einzuleiten, Schulungen zur Sensibilisierung der Benutzer für Sicherheitsfragen zu implementieren und regelmäßige Sicherheitsbewertungen durchzuführen.

First trigger point

Beurteilung

Untersuchung

Sicherung

Wiederherstellung

Verbesserung

Scroll right

Einsatzverlauf

Beurteilung

Untersuchung

Sicherung

Wiederherstellung

Verbesserung

1. Angriff

Anzeichen für unbefugten Zugriff und verdächtige Aktivitäten identifiziert, um Ausmaß und Auswirkungen der Angriffe zu ermitteln

Digitale Spuren untersucht, um betroffene Systeme und Konten zu identifizieren

Kompromittierte Konten gesichert, infiltrierte Systeme isoliert, Wiederaufbau von Active Directory und Härtung der Firewalls eingeleitet

Betroffene Systeme in einen sicheren Zustand zurückgesetzt, Angreifer aus den Umgebungen entfernt, Schwachstellen gehärtet

2. Angriff

Ausmaß der lateralen Ausbreitung und Ausspähung durch kontinuierliche Überwachung auf unbefugte Aktivitäten ermittelt

Vom Angreifer genutzte Tools und Techniken durch zusätzliche Ermittlungen identifiziert

Zusätzliche Sicherheitsmaßnahmen implementiert, um das Risiko zu reduzieren (Zugriff auf bestimmte Tools blockiert, Sicherheitsrichtlinien aktualisiert usw.)

Ausgeschleuste Daten identifiziert, betroffene Systeme wiederhergestellt, Schwachstellen identifiziert und behoben

3. Angriff

Auswirkungen der unbefugten Zugriffe auf die virtualisierte Domain eines Drittunternehmens abgeschätzt, potenzielle Risiken und Anfälligkeit beurteilt

Ausmaß der unbefugten Zugriffe und der potenziellen Datenausschleusung durch weitere Untersuchung ermittelt

Domain des Drittunternehmens gesichert, strengere Zugriffskontrollen implementiert, Sicherheitsbewertungen durchgeführt

Identifizierung der ausgeschleusten Daten, Zurücksetzung der externen Domain in einen sicheren Zustand, Identifizierung und Behebung von Schwachstellen eingeleitet

Sicherheitsniveau der externen Domain verbessert, zusätzliche Sicherheitsmaßnahmen implementiert, regelmäßige Audits durchgeführt

4. Angriff

Auswirkungen des unbefugten Zugriffs auf Dateifreigabe und E-Mail-System abgeschätzt, potenzielle Anfälligkeit beurteilt

Betroffene Konten und kompromittierte bzw. manipulierte Daten durch weitere Untersuchungen identifiziert

Betroffene Konten und Systeme gesichert, Kennwörter zurückgesetzt, zusätzliche Überwachung und Zugriffskontrollen implementiert

Kompromittierte Daten sowie betroffene Konten und Systeme wiederhergestellt, Schwachstellen identifiziert und behoben

Datensicherungsmaßnahmen verbessert, Maßnahmen zum Schutz vor Datenverlusten (DLP) implementiert, E-Mail-Protokolle gehärtet

5. Angriff

Auswirkungen der Netzwerkinfiltration, Effektivität der Sicherheitsmaßnahmen und Bereitschaft zur Abwehr zukünftiger Vorfälle bewertet

Verbleibende Schwachstellen und Bereiche mit Verbesserungspotenzial identifiziert, Incident-Response-Prozesse und Sicherheitsrichtlinien überarbeitet

Zusätzliche Sicherheitsmaßnahmen implementiert, Penetrationstest durchgeführt, Überwachungsfunktionen verbessert

Kontinuierliche Überwachung etabliert und proaktive Bedrohungssuche durchgeführt, um sicherzugehen, dass kein unbefugter Zugriff mehr möglich ist

Gesammelte Erfahrungen zur nachhaltigen Verbesserung der Sicherheitspraktiken genutzt, regelmäßige Sicherheitsbewertungen und ‑schulungen durchgeführt

Last trigger point

Datengestützte Incident Response

Mit den Incident-Response-Services von Unit 42 können Sie Bedrohungen einen Schritt vorausbleiben und sich aus den Schlagzeilen halten. Dank der vollen Unterstützung eines branchenführenden Cybersicherheitsunternehmens können Sie Vorfälle schneller untersuchen, eindämmen und beheben und gestärkt aus ihnen hervorgehen. Kontaktieren Sie uns – für eine Sorge weniger.

SPRECHEN SIE NOCH HEUTE MIT EINEM EXPERTEN

Mit branchenführender

  • Threat Intel logo icon
    Threat Intelligence

    Reichhaltige Telemetriedaten und Threat Intelligence beschleunigen die Untersuchung und Behebung

  • Technology icon
    Technologie

    Die Plattform von Palo Alto Networks bietet eine detaillierte Übersicht, mit der Bedrohungen schneller aufgedeckt und blockiert und Betriebsstörungen reduziert werden können.

  • Experience symbol
    Erfahrung und Expertise

    Sichern Sie sich die Unterstützung renommierter Experten, die über 1.000 Vorfälle pro Jahr schnell und effektiv beheben.

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen