Cómo un bufete de abogados global detuvo un ataque de ransomware con Illumio

Un bufete de abogados global fue atacado por ransomware. 

El ataque se extendió rápidamente a una docena de servidores.

Los atacantes estaban listos para infiltrar en toda la red y mantener a la compañía como rehén. 

Pero este bufete de abogados estaba listo. Tenían a Illumio. Y al usar nuestra tecnología, ellos:

• Contuvo el ataque a solo 12 servidores 
• Identificó los sistemas comprometidos y los puso en cuarentena en segundos
• Detuvo el ataque a las pocas horas de la violación inicial 
• Puso fin a la amenaza antes de que los atacantes pudieran cifrar o robar datos confidenciales y dañar a la compañía y sus clientes

En esta publicación, explicaremos cómo el bufete de abogados global detuvo el ataque de ransomware con una velocidad sin precedentes y evitó daños significativos a sus sistemas de TI, su negocio y, lo que es más importante, a sus clientes. 

De la intrusión al desalojo en horas: cronología de un ataque

Debería ser un desastre.

El bufete de abogados tenía miles de usuarios, servidores y estaciones de trabajo en docenas de ubicaciones en todo el mundo. Tenía cientos de clientes y almacenaba una gran cantidad de datos confidenciales y documentos legales en su infraestructura digital.

La compañía era un objetivo principal para el ransomware, y un día sucedió. Fueron atacados. 

Pero el ataque fracasó. Los ciberdelincuentes fueron desalojados en horas. Así es como sucedió, según le dijo a Illumio el ejecutivo de TI que dirigió la respuesta al incidente para el bufete de abogados.

Debido a la naturaleza delicada de este incidente, se retuvieron todos los nombres y detalles de identificación.

La brecha inicial: temprano en la tarde, lunes

Uno de los empleados de la compañía recibió un email de phishing que provenía de un cliente que fue comprometido por los atacantes.

"Los piratas informáticos fueron astutos", dice el ejecutivo. "Enviaron una URL a un supuesto archivo de Excel, pero no era un hipervínculo. Así que nuestro empleado copió la URL en su navegador para descargar el archivo".

Pero no pasó nada. Así que se puso en contacto con el servicio de asistencia de TI de la compañía para que la ayudaran a acceder al archivo, sin saber aún que era un código malicioso.

2:00 PM: Comienza el ataque 

El empleado de la mesa de ayuda copió la URL en su navegador. Eso provocó que el archivo armado lanzara su malware. 

"El archivo de Excel ejecutó una macro que permitió a los malos actores comprometer su estación de trabajo y acceder a los privilegios de su cuenta", explica el ejecutivo.

2:00 p. m. – 3:40 p. m.: el atacante pasa desapercibido

La máquina del técnico de TI estuvo en línea y sin control durante casi dos horas, lo que les dio tiempo a los delincuentes para explorar y evaluar la mejor manera de llevar a cabo su ataque.

"Los malos actores realizaron sus escaneos de red con mucho cuidado y lentitud, por lo que sus movimientos eran casi indetectables", dice.

Finalmente, los atacantes encontraron servidores a los que podían acceder con los privilegios que adquirieron de la estación de trabajo de la mesa de ayuda. Fue entonces cuando tomaron su oportunidad.

3:40 PM – 4:00 PM: Los atacantes hacen su movimiento

Los atacantes cifraron inicialmente los archivos de la base de datos en un servidor SQL. Esto provocó que el servidor se bloqueara. El grupo de TI del bufete de abogados notó de inmediato el accidente, lo investigó y vio indicadores de ransomware. 

"Nuestro administrador de la base de datos me llamó a las 6:00 p.m. y me dijo que pensaba que fuimos atacados con ransomware", dice.

4:00 PM – 4:50 PM: Creación de la sala de guerra

El ejecutivo de TI notificó a su CIO de lo que sucedió. Fue una llamada que ningún CIO quiere recibir. Temía lo peor. Sabían que el reloj comenzó a correr.

El bufete de abogados necesitaba orquestar su respuesta, rápido.

"En unos 15 minutos, abrí una llamada de Zoom y me reuní con afiliados a nuestros equipos de TI y seguridad", explica. "Nos sumergimos en los registros para saber qué sucedió y qué ya estaba comprometido".

4:50 PM – 6:15 PM: Entendiendo el ataque

"Rápidamente encontramos los registros que apuntaban a nuestro 'paciente cero': la estación de trabajo de la mesa de ayuda de TI que alojaba la URL maliciosa y el archivo de ransomware", dice.

Pero eso no fue suficiente. Necesitaban saber dónde más podría haber extendido el ataque. 

"En ese momento, los minutos están pasando", explica el ejecutivo. " Rápidamente aislamos esa estación de trabajo y comenzamos a observar el entorno como un todo para comprender el alcance del ataque".

El equipo de respuesta trajo a su proveedor de servicios de seguridad gestionados (MSSP) para ayudar a rastrear a los piratas informáticos. 

Usando su herramienta de gestión de eventos e información de seguridad (SIEM), que incluía datos de tráfico de aplicaciones en tiempo real de Illumio, el MSSP pudo consultar el SIEM y determinar que los atacantes llegaron a otros 11 servidores, incluido un servidor basado en la nube que se ejecuta en Microsoft Azure.

A medida que el equipo trabajaba, pudieron ver por telemetría en tiempo real que el alcance del ataque se estaba expandiendo ante sus ojos. El tiempo se estaba acabando. 

6:20 PM: Illumio termina el ataque

El bufete de abogados necesitaba actuar rápido para contener la infracción.

Con Illumio, el equipo pudo colocar inmediatamente los 12 servidores, incluida la instancia en la nube de Azure, en una barrera de segmentación, sin acceso a la red ni a los recursos informáticos.

En última instancia, esta fue la acción decisiva que detuvo el ataque en seco. 

"Literalmente, en un par de clics de arrastrar y soltar, pudimos poner en cuarentena todos los sistemas afectados", dice el ejecutivo. "Si intentáramos hacer eso con métodos convencionales, tomó mucho, mucho más tiempo y les dio a los malos actores muchas oportunidades para saltar a otros sistemas y continuar propagar. Con Illumio, pudimos cerrarlos de inmediato. No tenían forma de saltar a ningún otro lugar para evadirnos y seguir extender. Su diversión de la noche terminó".

6:20 PM – 1:00 AM: Evaluación de los daños

La amenaza terminó, pero aún quedaba trabajo por hacer. 

"Tuvimos que investigar el ataque completo para ver si los malos actores robaron alguno de nuestros datos", dice el ejecutivo. "Como bufete de abogados, si perdemos datos, tendríamos que notificar a nuestros clientes. Hacerlo crearía un daño a la reputación que podría ser muy perjudicial".

Contrató a una compañía de respuesta a incidentes (IR) para investigar el alcance total del ataque. 

Martes – Viernes: Búsqueda de evidencia de datos exfiltrados 

El grupo de TI del bufete de abogados instaló el agente de software de la firma de RI y luego usó Illumio para enviarles archivos de forma segura desde las máquinas comprometidas (para cerciorar de que nada más se reinfectara accidentalmente). El equipo de RI se puso a trabajar. 

"A partir de ahí, solo tuvimos que esperar", dice el ejecutivo.

Al final de la semana, el equipo de RI concluyó su investigación. 

"Regresaron y nos dijeron que ningún otro sistema se vio comprometido, y confirmaron que no había exfiltración de datos", dice. 

La noticia no podría ser mejor. Y los resultados no tuvieron precedentes. 

"Todos, desde el equipo de respuesta a incidentes hasta nuestro MSSP, nos dijeron que nunca vieron a una compañía responder a un ataque de ransomware tan rápido", dice el ejecutivo. "Dijeron que es inaudito limitar un ataque a una docena de sistemas porque se propaga muy rápido. Pero lo hicimos, gracias a Illumio".

Defensa contra ransomware más fácil

El ejecutivo de TI dice que, si bien Illumio fue fundamental para detener la violación de manera reactiva, su implementación de las capacidades de segmentación de confianza cero de Illumio antes de la violación también marcó una diferencia crítica. 

Aunque la compañía solo está completa en un 40 por ciento con su implementación de Illumio, los controles de acceso ya implementados restringieron en gran medida las vías y opciones que los piratas informáticos tenían disponibles durante el ataque, lo que ayudó a ralentizarlos y limitar significativamente a qué podían acceder una vez dentro de la red.

"Si no comenzamos ya a implementar Illumio para segmentar nuestro entorno, este ataque fue mucho, mucho peor", dice el ejecutivo. "Los malos actores encontraron potencialmente múltiples caminos fuera de la estación de trabajo y se extendieron mucho más lejos, mucho más rápido".  

Las lecciones de la exitosa defensa del bufete de abogados de un ataque de ransomware son claras: tenga el liderazgo adecuado, los equipos adecuados y los controles adecuados para estar listo para responder de inmediato cuando ocurra una infracción. 

"Es solo cuestión de tiempo antes de que tengas tu propia infracción", dice el ejecutivo. "En la actualidad, es esencial implementar la microsegmentación para limitar el movimiento lateral cuando los piratas informáticos o el malware inevitablemente ingresan a su red. Illumio nos permitió hacer esto de maneras que antes no eran posibles. Marcó la diferencia".

Lleve Illumio a su organización hoy y preparar para detener el ransomware, antes de que tome a su compañía como rehén. 

• Lea el estudio de caso completo para obtener más detalles sobre el ataque de la compañía.
• Obtenga el Reporte de impacto de Zero Trust para investigar cómo las organizaciones se están acercando a Zero Trust y ver beneficios cuantificables de la implementación de la segmentación.
• Descubra cómo implementar una segmentación de confianza cero rápida, simple y escalable en nuestra guía Lograr la segmentación de confianza cero con Illumio.
• Programe una consulta gratis y una demostración con nuestros expertos en segmentación de confianza cero.