Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Contención de Ransomware

Cómo un bufete de abogados global detuvo un ataque de ransomware usando Illumio

Ron Isaacson
,
Director Senior, Arquitectura Empresarial
June 24, 2022
23 min. lectura

Un bufete de abogados global fue golpeado por ransomware.

El ataque se extendió rápidamente a una docena de servidores.

Los atacantes estaban listos para infiltrarse en toda la red y mantener a la compañía como rehén.

Pero este bufete de abogados estaba listo. Tenían Illumio. Y mediante el uso de nuestra tecnología, ellos:

  • Contuvo el ataque a solo 12 servidores
  • Identificó los sistemas comprometidos y los ponía en cuarentena en segundos
  • Detuvo el ataque a las pocas horas de la violación inicial
  • Terminó la amenaza antes de que los atacantes pudieran cifrar o robar datos confidenciales y dañar a la compañía y sus clientes

En este post, explicaremos cómo el bufete de abogados global detuvo el ataque de ransomware con una velocidad sin precedentes mientras evitaba daños significativos a sus sistemas de TI, su negocio y, lo más importante, sus clientes.

De la intrusión al desalojo en horas: Cronología de un ataque

Debería haber sido un desastre.

El bufete de abogados contaba con miles de usuarios, servidores y estaciones de trabajo en decenas de ubicaciones en todo el mundo. Tenía cientos de clientes y almacenaba una gran cantidad de datos confidenciales y documentos legales en su infraestructura digital.

La firma era un objetivo principal para el ransomware, y un día sucedió. Fueron atacados.

Pero el ataque fracasó. Los ciberdelincuentes fueron desalojados en horas. Aquí está como sucedió, según informó a Illumio el ejecutivo de TI que encabezó la respuesta a incidentes para el bufete de abogados.

Debido a la naturaleza sensible de este incidente, se han ocultado todos los nombres y detalles de identificación.

La brecha inicial: Temprano por la tarde, lunes

Uno de los empleados de la firma recibió un correo electrónico de phishing que provenía de un cliente que había sido comprometido por los atacantes.

“Los hackers eran astutos”, dice el ejecutivo. “Enviaron una URL a un supuesto archivo de Excel, pero no era un hipervínculo. Así que nuestro empleado copió la URL en su navegador para descargar el archivo”.

Pero no pasó nada. Así que se puso en contacto con el servicio de asistencia de TI de la compañía para que le ayudara a acceder al archivo, sin saber aún que era código malicioso.

2:00 PM: Comienza el ataque

El empleado de la mesa de ayuda copió la URL en su navegador. Eso activó el archivo armonizado para lanzar su malware.

“El archivo Excel ejecutó una macro que permitió a los malos actores comprometer su estación de trabajo y acceder a sus privilegios de cuenta”, explica el ejecutivo.

2:00 PM — 3:40 PM: El atacante pasa desapercibida

La máquina del técnico de TI estuvo en línea y sin control durante casi dos horas, dando tiempo a los delincuentes para explorar y evaluar la mejor manera de llevar a cabo su ataque.

“Los malos actores realizaban sus escaneos de red con mucho cuidado y lentitud, por lo que sus movimientos eran casi indetectables”, dice.

Eventualmente, los atacantes encontraron servidores a los que podían acceder con los privilegios que adquirieron de la estación de trabajo de mesa de ayuda. Fue entonces cuando sacaron su disparo.

3:40 PM — 4:00 PM: Los atacantes hacen su movimiento

Los atacantes inicialmente cifraron los archivos de base de datos en un servidor SQL. Esto causó que el servidor se bloqueara. El grupo de TI del bufete de abogados notó inmediatamente el bloqueo, lo investigó y vio indicadores de ransomware.

“Nuestro administrador de base de datos me llamó a las 6:00 PM y me dijo que pensaba que habíamos estado golpe con ransomware”, dice.

4:00 PM — 4:50 PM: Creando la sala de guerra

El ejecutivo de TI notificó a su CIO de lo sucedido. Fue una llamada que ningún CIO quiere recibir nunca. Temía lo peor. Sabían que el reloj había empezado a pasar.

El bufete de abogados necesitaba orquestar su respuesta rápidamente.

“En unos 15 minutos, abrí una llamada de Zoom y me reuní con miembros de nuestros equipos de TI y seguridad”, explica. “Nos adentramos en los registros para saber qué sucedió y qué ya estaba comprometido”.

4:50 PM — 6:15 PM: Entendiendo el ataque

“Rápidamente encontramos los registros que apuntaban a nuestro 'paciente cero', la estación de trabajo de la mesa de ayuda de TI que alojaba la URL maliciosa y el archivo ransomware”, dice.

Pero eso no fue suficiente. Necesitaban saber dónde más podría haberse propagado el ataque.

“En ese momento, las minutas están tardeando”, explica el ejecutivo. “Nosotros rápidamente aislado esa estación de trabajo y comenzó a mirar el entorno en su conjunto para entender el alcance del ataque”.

El equipo de respuesta trajo su proveedor de servicios de seguridad administrada (MSSP) para ayudar a localizar a los hackers.

Utilizando su herramienta de administración de eventos e información de seguridad (SIEM), que incluía datos de tráfico de aplicaciones en tiempo real de Illumio, el MSSP pudo consultar el SIEM y determinar que los atacantes habían llegado a otros 11 servidores, incluido un servidor basado en la nube que se ejecutaba en Microsoft Azure.

A medida que el equipo trabajaba, pudieron ver por telemetría en tiempo real que el alcance del ataque se estaba expandiendo ante sus ojos. El tiempo se estaba acabando.

18:20 PM: Illumio termina el ataque

El bufete de abogados necesitaba actuar rápido para contener la violación.

Con Illumio, el equipo pudo poner inmediatamente los 12 servidores, incluida la instancia en la nube de Azure, en un valla de anillo de segmentación, sin acceso a la red ni a los recursos informáticos.

En definitiva, esta fue la acción decisiva que detuvo el ataque frío.

“Literalmente, en un par de clics de arrastrar y soltar, pudimos poner en cuarentena todos los sistemas afectados”, dice el ejecutivo. “Si hubiéramos intentado hacer eso con métodos convencionales, habría llevado mucho, mucho más tiempo y dado a los malos actores muchas oportunidades para saltar a otros sistemas y seguir difundiéndose. Con Illumio, pudimos apagarlos de inmediato. No tenían manera de saltar a ningún otro lado para evadirnos y seguir extendiéndose. Su diversión por la noche había terminado”.

6:20 PM — 1:00 a.m.: Evaluación del daño

La amenaza había terminado, pero aún quedaba trabajo por hacer.

“Tuvimos que investigar el ataque completo para ver si los malos actores robaron alguno de nuestros datos”, dice el ejecutivo. “Como bufete de abogados, si perdiéramos datos, entonces tendríamos que notificar a nuestros clientes. Hacerlo crearía un daño reputacional que podría ser muy perjudicial”.

Él contrató un empresa de respuesta ante incidentes (IR) para investigar el alcance completo del ataque.

Martes — Viernes: Buscando evidencia de datos exfiltrados

El grupo de TI del bufete de abogados instaló el agente de software de la firma de IR y luego usó Illumio para enviarles archivos de manera segura desde las máquinas comprometidas (para asegurarse de que nada más se reinfectara accidentalmente). El equipo de IR se puso manos a la obra.

“A partir de ahí, solo tuvimos que esperar”, dice el ejecutivo.

Al final de la semana, el equipo de IR concluyó su investigación.

“Regresaron y nos dijeron que ningún otro sistema había sido comprometido, y confirmaron que no hubo exfiltración de datos”, dice.

La noticia no podría haber sido mejor. Y los resultados no tuvieron precedentes.

“Todos, desde el equipo de respuesta a incidentes hasta nuestro MSSP, nos dijeron que nunca habían visto a una compañía responder a un ataque de ransomware tan rápido”, dice el ejecutivo. “Dijeron que es inaudito limitar un ataque a una docena de sistemas porque se propaga tan rápido. Pero hicimos precisamente eso, gracias a Illumio”.

La defensa contra ransomware se hace más fácil

El ejecutivo de TI dice que si bien Illumio fue fundamental para detener reactivamente la brecha, su implementación de Segmentación de confianza cero de Illumio las capacidades anteriores a la violación también marcaron una diferencia crítica.

Aunque la compañía solo se trata de 40 por ciento completo con su implementación de Illumio, los controles de acceso ya existentes restringieron en gran medida las vías y opciones que los hackers tenían disponibles durante el ataque, lo que ayudó a ralentizarlos y limitar significativamente a lo que podían acceder una vez dentro de la red.

“Si no hubiéramos empezado ya a implementar Illumio para segmentar nuestro entorno, este ataque hubiera sido mucho, mucho peor”, dice el ejecutivo. “Los malos actores habrían encontrado potencialmente múltiples rutas fuera de la estación de trabajo y se habrían extendido mucho más lejos, mucho más rápido”.

Las lecciones de la exitosa defensa del bufete de abogados de un ataque de ransomware son claras: Tener liderazgo correcto, los equipos adecuados y los controles adecuados en su lugar para estar listo para responder de inmediato cuando ocurre una violación.

“Es solo cuestión de tiempo antes de que tengas tu propia brecha”, dice el ejecutivo. “En esta época, es esencial para implementar la microsegmentación para limitar el movimiento lateral cuando los hackers o el malware inevitablemente entran en su red. Illumio nos permitió hacer esto de maneras que antes no eran posibles. Eso marcó toda la diferencia”.

Lleve Illumio a su organización hoy mismo y prepárese para detener el ransomware, antes de que tome a su empresa como rehén.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Kubernetes no es inmune al ransomware y cómo Illumio puede ayudar
Contención de Ransomware

Kubernetes no es inmune al ransomware y cómo Illumio puede ayudar

Descubra por qué el ransomware es un riesgo de ciberseguridad muy real en Kubernetes que los arquitectos de DevSecOps no pueden darse el lujo de ignorar.

Leer más
Bishop Fox: Probando la efectividad de segmentaciones de confianza cero contra el ransomware
Contención de Ransomware

Bishop Fox: Probando la efectividad de segmentaciones de confianza cero contra el ransomware

Conozca cómo Bishop Fox creó una emulación de ataque de ransomware para probar la efectividad de la Segmentación de Confianza Cero.

Leer más
Elevando el listón para los atacantes: cómo la microsegmentación puede proteger a las organizaciones de ataques similares a Kaseya
Contención de Ransomware

Elevando el listón para los atacantes: cómo la microsegmentación puede proteger a las organizaciones de ataques similares a Kaseya

Cómo la microsegmentación podría haber reducido la superficie de ataque y mitigar las consecuencias del ataque de Kaseya.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información