Behörden beseitigen Ransomware und stellen kritische Services erneut bereit

Unit 42® unterstützte den Kunden bei der schnellen Eindämmung der Bedrohung, der Wiederherstellung kritischer Systeme und dem Briefing von Staats‑ und Regierungschefs.

Fazit
Herausforderung
Ergebnisse
Wenden Sie sich an uns
Fazit
3Tage

zur vollständigen Isolation und Entfernung der Bedrohung

7Tage

zur Wiederherstellung kritischer Dienste

3Briefings

für Staats‑ und Regierungschefs sowie das Kabinett zum Vertrauensaufbau und für eine gute Zusammenarbeit

Der Kunde

Regierung eines Landes

Die Herausforderung

Nach einem Ransomwareangriff mit erheblichen Auswirkungen auf die öffentliche Verwaltung forderte die Regierung eines Landes die Unterstützung von Unit 42 an. Das Team griff umgehend ein, untersuchte den Angriff, ermittelte dessen Ausmaß, sicherte betroffene Systeme ab und stellte diese dann wieder her. Unit 42 half dem Kunden:

  • das Ausmaß des Schadens einzuschätzen,
  • den Angreifer zu identifizieren und Recherchen anzustellen,
  • einen Plan für die Wiederherstellung umzusetzen, um die Dienste der Behörden wieder bereitzustellen.

Der rigorose Incident-Response-Ansatz von Unit 42 liefert hervorragende Ergebnisse

Beurteilung

80 % der Systeme waren verschlüsselt und konnten nicht genutzt werden. Unit 42 setzte Cortex Xpanse® ein, um sich einen Überblick über die Umgebung zu verschaffen und das volle Ausmaß des Schadens einschätzen zu können.

Untersuchung

Eine forensische Analyse ergab, dass der Angreifer mit kompromittierten Anmeldedaten über eine veraltete Anwendung für den Remotezugriff eingedrungen war.

Sicherung

Das Team richtete eine saubere, neue Umgebung ein und stellte kritische Netzwerkdienste wieder her.

Wiederherstellung

Kritische Systeme (wie Grenzüberwachung, Telefonsystem und Lohnabrechnung) wurden wiederhergestellt, damit die Regierung ihr Tagesgeschäft fortsetzen konnte.

Verbesserung

Die Sicherheitsstrategie wurde überarbeitet und der Endpunktschutz mit Cortex XDR® gestärkt, um bekannte und unbekannte Bedrohungen abwehren zu können.

„Die Zusammenarbeit mit Unit 42 war hervorragend. Die Erfahrung des Teams – im Allgemeinen und mit diesem Angreifer – trug maßgeblich zur schnellen Behebung des Ransomwarevorfalls bei.“

CIO

First trigger point

Beurteilung

Untersuchung

Sicherung

Wiederherstellung

Verbesserung

Scroll right

Resolution Timeline

Beurteilung

Untersuchung

Sicherung

Wiederherstellung

Verbesserung

Tage 0–4
Krisenmanagement

80 % der Systeme als verschlüsselt identifiziert und Angriffsfläche mithilfe von Cortex Xpanse abgesteckt

Cortex XDR zur forensischen Analyse und für mehr Transparenz eingesetzt

Bedrohung eingedämmt, betroffene Systeme isoliert und Wiederherstellung eingeleitet

Nicht betroffene Web‑ und E-Mail-Dienste nach Ausschluss einer Infizierung wieder aktiviert

Tage 5–7
Entschlüsselung

Ausmaß, Schweregrad und Art des Vorfalls durch forensische Analyse mit Cortex XDR ermittelt

Einfallstor identifiziert: gestohlene Anmeldedaten für ein veraltetes Remotezugriffsystem

Neue Umgebung als Ausgangspunkt für die Wiederherstellung eingerichtet und wichtige Netzwerkdienste wiederhergestellt

Entschlüsselung und Wiederherstellung kritischer Systeme eingeleitet (z. B. Grenzüberwachung, Telefonsystem, Gehaltsabrechnung und Dienste der Führerscheinbehörde)

Tage 8–14
Wiederherstellung

Vollen Umfang der ausgeschleusten Daten ermittelt

Abdeckung durch Cortex XDR auf über 90 % der Umgebung ausgeweitet

Entschlüsselung der Systeme weiter fortgesetzt und Zugang zu nicht kritischen Services wiederhergestellt

Beurteilung der Angriffsfläche durch Unit 42, gefundene Sicherheitslücken geschlossen

Tage 15–30
Härtung

Umgebung mit Cortex XDR und dem Managed Threat Hunting-Service von Unit 42 vor Bedrohungen geschützt

Wiederherstellung abgeschlossen und zeitgleich Verfügbarkeit kritischer Systeme gewährleistet

Veraltetes Remotezugriffsystem durch ZTNA von Prisma Access® ersetzt

Last trigger point

Datengestützte Incident Response

Mit den Incident-Response-Services von Unit 42, können Sie Bedrohungen einen Schritt vorausbleiben und sich aus den Schlagzeilen halten. Dank der vollen Unterstützung eines branchenführenden Cybersicherheitsunternehmens können Sie Vorfälle schneller untersuchen, eindämmen und beheben und gestärkt aus ihnen hervorgehen. Kontaktieren Sie uns – für eine Sorge weniger.

SPRECHEN SIE NOCH HEUTE MIT EINEM EXPERTEN

Mit branchenführender

  • Threat Intel logo icon
    Threat Intel

    Reichhaltige Telemetriedaten und Threat Intelligence beschleunigen die Untersuchung und Behebung

  • Technologie
    Technologie

    Die Plattform von Palo Alto Networks bietet eine detaillierte Übersicht, mit der Bedrohungen schneller aufgedeckt und blockiert und Betriebsstörungen reduziert werden können.

  • Erfahrung und Expertise
    Erfahrung und Expertise

    Sichern Sie sich die Unterstützung renommierter Experten, die über 1.000 Vorfälle pro Jahr schnell und effektiv beheben.

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen