ÉTUDE DE CAS

L’incident d’ACME Inc.

ACME Inc. est une entreprise mondiale avec plusieurs installations réparties dans plusieurs pays et opérant dans plusieurs langues.

TÉLÉCHARGER L’ÉTUDE DE CAS

Ce qui suit décrit l’attaque par rançongiciel contre une entreprise internationale que nous appellerons ACME Inc. (et non le vrai nom de l’entreprise) et les actions de l’équipe d’intervention en cas d’incident sur le site des Nerds qui ont contrecarré l’attaque, atténué les dommages, a remis en service les systèmes critiques de l’entreprise avec un temps d’arrêt minimal, et s’est assuré que ces systèmes étaient correctement fortifiés contre toute autre attaque.

l’attaque

Janvier, 2019

L’attaque initiale se fait au moyen d’une pièce jointe de courriel (un plan d’hameçonnage) et lance un script PowerShell – un outil souvent exploité par les cybercriminels, car il tombe sous le radar des produits de sécurité traditionnels des terminaux. Au cours des 6 prochains mois et plus, la menace persistante avancée continue d’infecter les systèmes de tous les sites mondiaux de l’entreprise. À ce stade, l’entreprise n’est pas au courant des menaces spécifiques car elles ne sont pas détectées par le logiciel McAfee Enterprise utilisé par ACME. 400 des plus de 3000 appareils connectés à Internet utilisés par l’entreprise sont infectés.

À l’heure actuelle, les systèmes d’ACME sont de moins en moins stables en raison du logiciel bogué des attaquants, qui alerte l’entreprise de la menace.

Évaluation et enquête

Juillet, 2019

Constatant qu’ils sont attaqués, l’ACME communique avec les nerds sur place pour obtenir du soutien et l’équipe d’intervention en cas d’incident répond immédiatement. L’équipe arrive et évalue la situation. Étant donné le nombre d’indications de compromis immédiatement visibles, l’équipe est surprise que les ransomwares n’aient pas encore été déployés. En fait, il en est à ses dernières étapes de préparation. Des mesures d’isolement sont prises et ces « portes étant fermées » sont remarquées par les attaquants qui lancent alors le ransomware chiffrent ou. La grève a lieu le vendredi soir à 18h – une heure d’attaque préférée, comme les assaillants le croient, avec des travailleurs qui rentrent chez eux, ce qui leur donne la fin de semaine pour infliger le maximum de dégâts. Cependant, l’équipe d’intervention en cas d’incident demeure vigilante et remarque l’état de chiffrement peu après le début de l’incident. La note de chiffrement et de rançon (qui exige une rançon de 600000 $, augmentant de 120000 $ par jour si elle n’est pas payée dans une semaine) prévient contre l’arrêt et la déconnexion d’Internet, mais c’est exactement ce que fait l’Équipe – éteindre tous les appareils du centre de données et la connexion Internet elle-même. Cela permet la préservation complète d’au moins un contrôleur de domaine Active Directory que le chiffrement ou n’avait pas encore compromis.

Réponse

L’évaluation et l’enquête initiales de l’incident fournissent à l’équipe des RI les meilleurs renseignements dont elle a besoin pour lancer le protocole d’intervention en cas d’incident de phase 3 des Nerds sur le site.

Phase un : Isoler

L’équipe supprime les passerelles Cisco ASA existantes dans l’infrastructure VPN site à site et les remplace par adam:ONE, le logiciel de pare-feu et de solutions de passerelle basé sur DNS de pointe. adam:ONE a une politique par défaut « Holding Tank ». adam:ONE insère une bouée de sauvetage dans le réservoir de retenue qui donne aux appareils infectés un accès limité à Internet; seulement à Windows Update et Webroot – un logiciel de protection avancée contre les menaces – pour s’assurer que toutes les mises à jour de sécurité et tous les correctifs sont appliqués. Chaque endpoint étant automatiquement placé dans la politique Holding Tank, ils n’ont pas accès à un Active Directory et ne peuvent plus faire de dégâts.

Phase deux : Assainissement

L’équipe configure chaque ordinateur pour démarrer en « mode sans échec » avec le soutien réseau et déploie Webroot pour effectuer une analyse approfondie.

Localement, les ordinateurs sont amenés dans une grande zone où l’équipe travaille sur 20 à la fois. Dans les autres sites internationaux, les équipes informatiques locales sous la direction de Nerds On Site reçoivent des instructions étape par étape pour faire de même, traduites dans leur langue et communiquées à travers un tableau de bord central qui permet une vue en temps réel des progrès mondiaux.

Une fois que Webroot supprime toutes les infections connues, le système est re-scanné en « mode normal » pour assurer un état propre. Toutes les mises à jour de Windows et des applications sont appliquées selon une priorité « essentielle à la mission », « importante » et « peut attendre ».

Phase trois : Fortifier et maintenir

En utilisant la technologie adam:ONE, l’équipe reconfigure les systèmes à partir d’un point de vue Zero Trust en utilisant la liste blanche. La liste blanche est la compilation d’une liste de toutes les applications acceptables ou connues – courriels, IP, appareils, etc. – que vous allez autoriser à exécuter sur vos systèmes et réseaux. Au lieu de l’approche traditionnelle de liste noire où tout site ou toute application ne figurant pas sur une liste de mauvais acteurs connus est autorisé à accéder à un site, la liste blanche commence par ne permettre à personne d’accéder au site. Puis, une fois scanné et déterminé à ne poser aucune menace, toutes les ressources Internet légitimement nécessaires et les domaines sont ajoutés à la liste blanche et rendus accessibles aux utilisateurs. Toutes les demandes en cours sont gérées selon une approche adaptative de liste blanche qui est complétée par l’intelligence artificielle.

Les Résultats

Une action rapide de la part de l’équipe Nerds On Site Incident Response Team a stoppé les attaquants sur leurs traces. Les systèmes ont été remis en service avec un minimum de dégâts, un seul arrêt et sans payer la rançon demandée. Fait tout aussi important, l’équipe IR a déployé des technologies pour s’assurer que ACME Inc. est bien protégée contre les attaques futures.

Votre entreprise est-elle prête à se défendre contre une cyberattaque?

RÉSERVEZ UNE ÉVALUATION GRATUITE