Sobre a Empresa

Este caso ocorreu em uma empresa de manufatura global, estabelecida há mais de um século, contando com mais de 5.000 funcionários e uma receita anual de mais de 1 bilhão de dólares americanos. A empresa começou a abandonar ferramentas obsoletas e a implementar novas tecnologias, embora nem todas as áreas da organização tenham recebido a mesma atenção. Para grandes corporações multinacionais, é sempre mais difícil implementar processos e tecnologias novos ou em evolução. No entanto, é crucial que exista um número suficiente de ferramentas e processos de cibersegurança para se defender contra ataques, especialmente considerando as rápidas mudanças na transformação digital e a simplicidade do trabalho remoto.

O Desafio

A empresa de manufatura recebeu um alerta de que ocorreu um “evento de limpeza” em seu Controlador de Domínio. Em TI, “limpeza” é um termo que descreve quando a equipe de TI ou um software limpam logs de um sistema ou dispositivo, frequentemente para liberar espaço de armazenamento. Neste caso, o evento de limpeza indicava uma violação séria identificada no final da Cadeia de Ataques. Isso significa que o atacante havia concluído a manipulação da rede e apagado seus rastros, tornando difícil para os analistas investigarem o caso. Antes deste alerta, a empresa de manufatura não estava ciente de que um atacante havia se infiltrado sua rede e estava movendo-se lateralmente por sua infraestrutura. Para piorar, o atacante havia implantado um ransomware na rede da empresa e a ativação poderia ocorrer a qualquer momento, transformando um ataque cibernético gerenciável em uma bomba-relógio com resultados potencialmente catastróficos.

A Investigação

Ao longo da investigação, a solução de cibersegurança descobriu as ações e etapas executadas pelo atacante. Após descobrir que o atacante é conhecido por episódios de ransomware, a equipe de DFIR localizou o ransomware implantado. A solução identificou a ameaça como sendo um APT (Advanced Persistent Threat) e descobriu que o atacante acessou a rede da empresa de manufatura através do servidor RDS que estava conectado à internet e não tinha restrições. Uma vez dentro, foi possível para o atacante se mover lateralmente pela rede, obter credenciais para contas de alto privilégio e acessar o servidor do Controlador de Domínio. Limpar logs é um sinal de que o ataque está no final da Cadeia de Ataques, aumentando a urgência e a sensibilidade ao tempo deste incidente. Como a equipe de inteligência de ameaças identificou que o atacante é conhecido por ataques de ransomware, juntamente com a equipe de DFIR, eles foram capazes de encontrar e impedir rapidamente o ransomware de ser ativado. Foi realizado um processo de resposta a incidentes (IR) completo para a empresa de manufatura, desde a definição do escopo até a recuperação. Para concluir a investigação, foi fornecido um relatório detalhado da investigação e um projeto de caça a ameaças foi lançado para eliminar quaisquer vestígios de comprometimento da empresa de manufatura.

Solução

Devido à gravidade e urgência de um evento de limpeza, uma resposta rápida foi vital para a recuperação e o controle de danos. A empresa de manufatura tinha a Plataforma SOC da CYREBRO em vigor, que estava coletando os sinais iniciais relevantes e críticos da infiltração para investigação. Isso permitiu que a equipe de IR da CYREBRO executasse uma investigação e resposta rápida e precisa. A equipe de Inteligência de Ameaças da CYREBRO concluiu que o ator malicioso era conhecido por ataques de ransomware e que o ataque teria resultado na criptografia de dados em toda a rede. Uma cópia desse ransomware foi encontrada em um dos servidores, mas não foi encontrada nenhuma indicação de execução. A CYREBRO realizou um projeto de caça a ameaças, que aumentou a visibilidade sobre a rede do cliente, a detecção de mais vestígios de ataques e a detecção de tentativas do atacante de recuperar uma posição na rede, e reagir de acordo. Esta etapa foi o último passo para garantir a integridade da rede comprometida. A equipe de DFIR foi capaz de executar um processo de resposta a incidentes completo, removendo o atacante da rede e negando todas as suas ações que ameaçavam a empresa de manufatura.

Resultados da Investigação

A investigação e a resposta imediata da solução impediram um ataque de ransomware muito sério, juntamente com danos financeiros e de reputação potencialmente devastadores. O pagamento do resgate é apenas uma questão (embora o custo médio nos EUA de um pagamento de ransomware sozinho esteja ultrapassando os US$6 milhões); o custo do tempo de inatividade dos negócios pode chegar a até dez vezes o valor do pagamento. Em última análise, a solução de cibersegurança livrou a empresa do atacante e de quaisquer alterações que ele tentou fazer, permitindo que os negócios continuassem sem impacto. Através de ações rápidas e decisivas, a postura de segurança da empresa saiu fortalecida.