Como um escritório de advocacia global interrompeu um ataque de ransomware usando o Illumio

A global law firm was hit by ransomware. 

O ataque se espalhou rapidamente para uma dúzia de servidores.

Os atacantes estavam prontos para se infiltrar em toda a rede e manter a empresa como refém. 

Mas esse escritório de advocacia estava pronto. Eles tinham Illumio. E usando nossa tecnologia, eles:

• Conteve o ataque em apenas 12 servidores 
• Identificou os sistemas comprometidos e os colocou em quarentena em segundos
• Interrompeu o ataque apenas algumas horas após a violação inicial 
• Acabou com a ameaça antes que os atacantes pudessem criptografar ou roubar dados confidenciais e prejudicar a empresa e seus clientes

Neste post, explicaremos como o escritório de advocacia global interrompeu o ataque de ransomware com uma velocidade sem precedentes, evitando danos significativos a seus sistemas de TI, seus negócios e, o mais importante, a seus clientes. 

Da intrusão ao despejo em horas: cronograma de um ataque

Deveria ter sido um desastre.

O escritório de advocacia tinha milhares de usuários, servidores e estações de trabalho em dezenas de locais ao redor do mundo. Ela tinha centenas de clientes e armazenava uma grande quantidade de dados confidenciais e documentos legais em sua infraestrutura digital.

A empresa era o principal alvo do ransomware e, um dia, isso aconteceu. Eles foram atacados. 

But the attack failed. The cybercriminals were evicted in hours. Here’s how it happened, as told to Illumio by the IT executive who led the incident response for the law firm.

Devido à natureza delicada desse incidente, todos os nomes e detalhes de identificação foram omitidos.

A violação inicial: início da tarde, segunda-feira

Um dos funcionários da empresa recebeu um e-mail de phishing que veio de um cliente que havia sido comprometido pelos atacantes.

“Os hackers foram sorrateiros”, diz o executivo. “Eles enviaram uma URL para um suposto arquivo do Excel, mas não era um hiperlink. Então, nosso funcionário copiou o URL em seu navegador para baixar o arquivo.”

Mas nada aconteceu. Então, ela entrou em contato com o suporte técnico de TI da empresa para ajudar no acesso ao arquivo, sem saber ainda que era um código malicioso.

14:00: O ataque começa 

O funcionário do suporte técnico copiou a URL em seu navegador. Isso fez com que o arquivo transformado em arma lançasse seu malware. 

“O arquivo do Excel executou uma macro que permitiu que os malfeitores comprometessem sua estação de trabalho e acessassem os privilégios de sua conta”, explica o executivo.

14:00 — 15:40: O atacante não é detectado

A máquina do técnico de TI ficou on-line e sem controle por quase duas horas, dando aos criminosos tempo para explorar e avaliar a melhor forma de realizar o ataque.

“Os malfeitores realizaram suas varreduras de rede com muito cuidado e lentidão, então seus movimentos eram quase indetectáveis”, diz ele.

Por fim, os atacantes encontraram servidores que podiam acessar com os privilégios adquiridos na estação de trabalho do help desk. Foi quando eles atiraram.

15h40 — 16h: Os atacantes fazem sua jogada

Os atacantes inicialmente criptografaram os arquivos do banco de dados em um servidor SQL. Isso fez com que o servidor travasse. O grupo de TI do escritório de advocacia percebeu imediatamente a falha, investigou e viu indicadores de ransomware. 

“Our database administrator called me at 6:00 PM and told me he thought we had been hit with ransomware,” he says.

16h às 16h50: Criando a sala de guerra

O executivo de TI notificou seu CIO sobre o que havia acontecido. Foi uma ligação que nenhum CIO gostaria de receber. Ele temia o pior. Eles sabiam que o tempo havia começado a contar.

O escritório de advocacia precisava orquestrar sua resposta — rapidamente.

“Em cerca de 15 minutos, abri uma chamada da Zoom e me reuni com membros de nossas equipes de TI e segurança”, explica ele. “Analisamos os registros para descobrir o que aconteceu e o que já estava comprometido.”

16h50 — 18h15: Entendendo o ataque

“Encontramos rapidamente os registros que apontavam para nosso 'paciente zero' — a estação de trabalho de suporte técnico de TI que hospedava o URL malicioso e o arquivo de ransomware”, diz ele.

Mas isso não foi suficiente. Eles precisavam saber para onde mais o ataque poderia ter se espalhado. 

“At that point, the minutes are ticking by,” the executive explains. “We quickly isolated that workstation and started looking at the environment as a whole to understand the scope of the attack.”

The response team brought in its managed security service provider (MSSP) to help track down the hackers. 

Usando sua ferramenta de gerenciamento de eventos e informações de segurança (SIEM), que incluía dados de tráfego de aplicativos em tempo real da Illumio, o MSSP conseguiu consultar o SIEM e determinar que os atacantes haviam alcançado outros 11 servidores, incluindo um servidor baseado em nuvem executado no Microsoft Azure.

Enquanto a equipe trabalhava, eles podiam ver pela telemetria em tempo real que o escopo do ataque estava se expandindo diante de seus olhos. O tempo estava se esgotando. 

18h20: Illumio encerra o ataque

O escritório de advocacia precisava agir rapidamente para conter a violação.

Using Illumio, the team was able to immediately put all 12 servers — including the Azure cloud instance — into a segmentation ring-fence, with no access to the network or computing resources.

Em última análise, essa foi a ação decisiva que interrompeu o ataque frio. 

" Literalmente, com alguns cliques de arrastar e soltar, conseguimos colocar em quarentena todos os sistemas afetados”, diz o executivo. “Se tentássemos fazer isso com métodos convencionais, teria levado muito, muito mais tempo e dado aos malfeitores muitas oportunidades de migrar para outros sistemas e continuar a se espalhar. Com o Illumio, conseguimos desligá-los imediatamente. Eles não tinham como pular para nenhum outro lugar para fugir de nós e continuar se espalhando. A diversão da noite acabou.”

18h20 — 1h00: Avaliação dos danos

A ameaça havia terminado, mas ainda havia trabalho a ser feito. 

“Tivemos que investigar todo o ataque para ver se os malfeitores roubaram algum de nossos dados”, diz o executivo. “Como escritório de advocacia, se perdêssemos dados, teríamos que notificar nossos clientes. Fazer isso criaria danos à reputação que poderiam ser muito prejudiciais.”

He engaged an incident response (IR) firm to investigate the attack’s full scope. 

Terça a sexta: em busca de evidências de dados extraídos 

O grupo de TI do escritório de advocacia instalou o agente de software do escritório de IR e depois usou o Illumio para enviar arquivos com segurança das máquinas comprometidas (para garantir que nada mais fosse reinfectado acidentalmente). A equipe de IR começou a trabalhar. 

“A partir daí, só tivemos que esperar”, diz o executivo.

No final da semana, a equipe de IR concluiu a investigação. 

“Eles voltaram e nos disseram que nenhum outro sistema havia sido comprometido e confirmaram que não houve exfiltração de dados”, diz ele. 

A notícia não poderia ter sido melhor. E os resultados foram sem precedentes. 

“Todos — da equipe de resposta a incidentes ao nosso MSSP — nos disseram que nunca viram uma empresa responder a um ataque de ransomware tão rápido”, diz o executivo. “Eles disseram que é inédito limitar um ataque a uma dúzia de sistemas porque ele se espalha muito rápido. Mas fizemos exatamente isso, graças à Illumio.”

A defesa contra ransomware ficou mais fácil

The IT executive says that while Illumio was pivotal in reactively stopping the breach, its deployment of Illumio’s Zero Trust Segmentation capabilities prior to the breach also made a critical difference. 

Though the company is only about 40 percent complete with its Illumio deployment, the access controls already in place greatly restricted the pathways and options the hackers had available during the attack, helping slow them down and significantly limit what they could access once inside the network.

“Se ainda não tivéssemos começado a implementar o Illumio para segmentar nosso ambiente, esse ataque teria sido muito, muito pior”, diz o executivo. “Os malfeitores teriam potencialmente encontrado vários caminhos para sair da estação de trabalho e se espalhar muito mais, muito mais rápido.”  

The lessons from the law firm’s successful defense of a ransomware attack are clear: Have the right leadership, the right teams, and the right controls in place to be ready to respond immediately when a breach happens. 

“It’s only a matter of time before you have your own breach,” the executive says. “In this day and age, it’s essential to implement microsegmentation to limit lateral movement when hackers or malware inevitably get into your network. Illumio allowed us to do this in ways that just weren’t possible before. It made all the difference.”

Traga o Illumio para sua organização hoje mesmo e esteja pronto para impedir o ransomware, antes que ele tome sua empresa como refém. 

• Read the full case study for more details on the firm's attack.
• Get the Zero Trust Impact Report for research on how organizations are approaching Zero Trust and seeing quantifiable benefits from implementing segmentation.
• Descubra como implementar a segmentação Zero Trust rápida, simples e escalável em nosso guia Alcançando a segmentação Zero Trust com a Illumio.
• Schedule a free consultation and demo with our Zero Trust Segmentation experts.