.png)
Como um escritório de advocacia global interrompeu um ataque de ransomware usando o Illumio
Um escritório de advocacia global foi atingido por ransomware.
O ataque se espalhou rapidamente para uma dúzia de servidores.
Os atacantes estavam prontos para se infiltrar em toda a rede e manter a empresa como refém.
Mas esse escritório de advocacia estava pronto. Eles tinham Illumio. E usando nossa tecnologia, eles:
- Conteve o ataque em apenas 12 servidores
- Identificou os sistemas comprometidos e os colocou em quarentena em segundos
- Interrompeu o ataque apenas algumas horas após a violação inicial
- Acabou com a ameaça antes que os atacantes pudessem criptografar ou roubar dados confidenciais e prejudicar a empresa e seus clientes
Neste post, explicaremos como o escritório de advocacia global interrompeu o ataque de ransomware com uma velocidade sem precedentes, evitando danos significativos a seus sistemas de TI, seus negócios e, o mais importante, a seus clientes.
Da intrusão ao despejo em horas: cronograma de um ataque
Deveria ter sido um desastre.
O escritório de advocacia tinha milhares de usuários, servidores e estações de trabalho em dezenas de locais ao redor do mundo. Ela tinha centenas de clientes e armazenava uma grande quantidade de dados confidenciais e documentos legais em sua infraestrutura digital.
A empresa era o principal alvo do ransomware e, um dia, isso aconteceu. Eles foram atacados.
Mas o ataque falhou. Os cibercriminosos foram despejados em horas. Aqui está como aconteceu, conforme relatado à Illumio pelo executivo de TI que liderou a resposta a incidentes no escritório de advocacia.
Devido à natureza delicada desse incidente, todos os nomes e detalhes de identificação foram omitidos.
A violação inicial: início da tarde, segunda-feira
Um dos funcionários da empresa recebeu um e-mail de phishing que veio de um cliente que havia sido comprometido pelos atacantes.
“Os hackers foram sorrateiros”, diz o executivo. “Eles enviaram uma URL para um suposto arquivo do Excel, mas não era um hiperlink. Então, nosso funcionário copiou o URL em seu navegador para baixar o arquivo.”
Mas nada aconteceu. Então, ela entrou em contato com o suporte técnico de TI da empresa para ajudar no acesso ao arquivo, sem saber ainda que era um código malicioso.
14:00: O ataque começa
O funcionário do suporte técnico copiou a URL em seu navegador. Isso fez com que o arquivo transformado em arma lançasse seu malware.
“O arquivo do Excel executou uma macro que permitiu que os malfeitores comprometessem sua estação de trabalho e acessassem os privilégios de sua conta”, explica o executivo.
14:00 — 15:40: O atacante não é detectado
A máquina do técnico de TI ficou on-line e sem controle por quase duas horas, dando aos criminosos tempo para explorar e avaliar a melhor forma de realizar o ataque.
“Os malfeitores realizaram suas varreduras de rede com muito cuidado e lentidão, então seus movimentos eram quase indetectáveis”, diz ele.
Por fim, os atacantes encontraram servidores que podiam acessar com os privilégios adquiridos na estação de trabalho do help desk. Foi quando eles atiraram.
15h40 — 16h: Os atacantes fazem sua jogada
Os atacantes inicialmente criptografaram os arquivos do banco de dados em um servidor SQL. Isso fez com que o servidor travasse. O grupo de TI do escritório de advocacia percebeu imediatamente a falha, investigou e viu indicadores de ransomware.
“Nosso administrador de banco de dados me ligou às 18h e disse que achava que tínhamos sido atingido com ransomware”, diz ele.
16h às 16h50: Criando a sala de guerra
O executivo de TI notificou seu CIO sobre o que havia acontecido. Foi uma ligação que nenhum CIO gostaria de receber. Ele temia o pior. Eles sabiam que o tempo havia começado a contar.
O escritório de advocacia precisava orquestrar sua resposta — rapidamente.
“Em cerca de 15 minutos, abri uma chamada da Zoom e me reuni com membros de nossas equipes de TI e segurança”, explica ele. “Analisamos os registros para descobrir o que aconteceu e o que já estava comprometido.”
16h50 — 18h15: Entendendo o ataque
“Encontramos rapidamente os registros que apontavam para nosso 'paciente zero' — a estação de trabalho de suporte técnico de TI que hospedava o URL malicioso e o arquivo de ransomware”, diz ele.
Mas isso não foi suficiente. Eles precisavam saber para onde mais o ataque poderia ter se espalhado.
“Nesse momento, os minutos estão passando”, explica o executivo. “Nós rapidamente isolado aquela estação de trabalho e comecei a analisar o ambiente como um todo para entender o escopo do ataque.”
A equipe de resposta trouxe seu provedor de serviços de segurança gerenciados (MSSP) para ajudar a rastrear os hackers.
Usando sua ferramenta de gerenciamento de eventos e informações de segurança (SIEM), que incluía dados de tráfego de aplicativos em tempo real da Illumio, o MSSP conseguiu consultar o SIEM e determinar que os atacantes haviam alcançado outros 11 servidores, incluindo um servidor baseado em nuvem executado no Microsoft Azure.
Enquanto a equipe trabalhava, eles podiam ver pela telemetria em tempo real que o escopo do ataque estava se expandindo diante de seus olhos. O tempo estava acabando.
18h20: Illumio encerra o ataque
O escritório de advocacia precisava agir rapidamente para conter a violação.
Usando o Illumio, a equipe conseguiu colocar imediatamente todos os 12 servidores — incluindo a instância de nuvem do Azure — em um cerca circular de segmentação, sem acesso à rede ou aos recursos de computação.
Em última análise, essa foi a ação decisiva que interrompeu o ataque frio.
“Literalmente, com alguns cliques de arrastar e soltar, conseguimos colocar em quarentena todos os sistemas afetados”, diz o executivo. “Se tentássemos fazer isso com métodos convencionais, teria levado muito, muito mais tempo e dado aos malfeitores muitas oportunidades de migrar para outros sistemas e continuar a se espalhar. Com o Illumio, conseguimos desligá-los imediatamente. Eles não tinham como pular para nenhum outro lugar para fugir de nós e continuar se espalhando. A diversão da noite acabou.”
18h20 — 1h00: Avaliação dos danos
A ameaça havia terminado, mas ainda havia trabalho a ser feito.
“Tivemos que investigar todo o ataque para ver se os malfeitores roubaram algum de nossos dados”, diz o executivo. “Como escritório de advocacia, se perdêssemos dados, teríamos que notificar nossos clientes. Fazer isso criaria danos à reputação que poderiam ser muito prejudiciais.”
Ele contratou um empresa de resposta a incidentes (IR) para investigar todo o escopo do ataque.
Terça a sexta: em busca de evidências de dados extraídos
O grupo de TI do escritório de advocacia instalou o agente de software do escritório de IR e depois usou o Illumio para enviar arquivos com segurança das máquinas comprometidas (para garantir que nada mais fosse reinfectado acidentalmente). A equipe de IR começou a trabalhar.
“A partir daí, só tivemos que esperar”, diz o executivo.
No final da semana, a equipe de IR concluiu a investigação.
“Eles voltaram e nos disseram que nenhum outro sistema havia sido comprometido e confirmaram que não houve exfiltração de dados”, diz ele.
A notícia não poderia ter sido melhor. E os resultados foram sem precedentes.
“Todos — da equipe de resposta a incidentes ao nosso MSSP — nos disseram que nunca viram uma empresa responder a um ataque de ransomware tão rápido”, diz o executivo. “Eles disseram que é inédito limitar um ataque a uma dúzia de sistemas porque ele se espalha muito rápido. Mas fizemos exatamente isso, graças à Illumio.”
A defesa contra ransomware ficou mais fácil
O executivo de TI afirma que, embora a Illumio tenha sido fundamental para impedir reativamente a violação, sua implantação do Segmentação Zero Trust da Illumio as capacidades anteriores à violação também fizeram uma diferença crítica.
Embora a empresa seja apenas sobre 40 por cento completo com sua implantação do Illumio, os controles de acesso já existentes restringiram bastante os caminhos e as opções que os hackers tinham disponíveis durante o ataque, ajudando a desacelerá-los e limitar significativamente o que eles podiam acessar quando estavam dentro da rede.
“Se ainda não tivéssemos começado a implementar o Illumio para segmentar nosso ambiente, esse ataque teria sido muito, muito pior”, diz o executivo. “Os malfeitores teriam potencialmente encontrado vários caminhos para sair da estação de trabalho e se espalhar muito mais, muito mais rápido.”
As lições da defesa bem-sucedida do escritório de advocacia contra um ataque de ransomware são claras: tenha o liderança certa, as equipes certas e os controles certos instalado para estar pronto para responder imediatamente quando ocorrer uma violação.
“É apenas uma questão de tempo até que você tenha sua própria violação”, diz o executivo. “Nos dias de hoje, é essencial para implementar a microssegmentação para limitar o movimento lateral quando hackers ou malwares inevitavelmente entram em sua rede. O Illumio nos permitiu fazer isso de maneiras que não eram possíveis antes. Isso fez toda a diferença.”
Traga o Illumio para sua organização hoje mesmo e esteja pronto para impedir o ransomware, antes que ele tome sua empresa como refém.
- Leia o estudo de caso completo para obter mais detalhes sobre o ataque da empresa.
- Obtenha o Relatório de impacto do Zero Trust para pesquisas sobre como as organizações estão abordando o Zero Trust e vendo benefícios quantificáveis da implementação da segmentação.
- Descubra como implementar a segmentação Zero Trust rápida, simples e escalável em nosso guia Alcançando a segmentação Zero Trust com o Illumio.
- Cronograma uma consulta e demonstração gratuitas com nossos especialistas em Segmentação Zero Trust.
