Descargar Caso de Éxito

Envíe este formulario para descargar nuestro caso práctico
  • Este campo es para fines de validación y no debe modificarse.
estudio de caso de biotecnología de infocyte

Descripción general del estudio de caso

Cuando las principales empresas de biotecnología encuentran el software de rescate en su entorno, recurren al equipo de respuesta a incidentes de Check Point Software. El Equipo de Respuesta a Incidentes de Check Point aprovechó Infocyte HUNT para detectar y responder rápidamente al incidente.

Durante su investigación de IR, el equipo de IR de Check Point identificó una nueva variante de malware, enmascarada detrás de Ryuk ransomware. Sus respondedores de incidentes trabajaron en estrecha colaboración con nuestros analistas de seguridad para cerrar con éxito los vectores de ataque y ayudar a sus clientes a recuperarse.

El desafío

En 2018, los malos actores lanzaron un importante ataque de rescate contra una empresa global de biotecnología con sede en EE.UU., que se centró en la propiedad intelectual de alto valor, los archivos sensibles de los clientes y los datos financieros clave. El ataque logró superar las tecnologías de seguridad defensiva desplegadas en la red de la empresa, incluyendo cortafuegos de última generación con un sistema de prevención de intrusiones (IPS), dispositivos de red, herramientas de monitorización y una plataforma líder de protección de puntos finales (EPP).

Debido a la naturaleza severa del ataque de rescate, la firma de biotecnología llamó al FBI para que ayudara a investigar la fuente de los ataques. Además, la compañía contrató a un equipo de respuesta a incidentes (IR) de Check Point Software, un socio de Infocyte HUNT, para llevar a cabo una comprometimientoevaluación exhaustiva de su red y para buscar evidencia de otros vectores de ataque o puertas traseras. Los expertos en seguridad de lnfocyte ayudaron en los esfuerzos de Check Point.

Nuestra Solución

Infocyte HUNT fue desplegado y en 15 minutos había inspeccionado los primeros 300 sistemas sospechosos de estar comprometidos. Casi inmediatamente, HUNT marcó 20 sistemas con troyanos TrickBot con inyección de memoria activa, un sistema con un dumper de credenciales Mimikatz y más de 70 artefactos de ejecución relacionados.

Usando HUNT, el equipo de IR fue capaz de desarrollar una línea de tiempo del ataque basada en las marcas de tiempo de los artefactos históricos. Esto les permitió identificar rápidamente el "paciente cero" y el vector de entrada para el ataque coordinado de Ryuk Ransomware. Además, Infocyte HUNT fue fundamental para ayudar a descubrir nuevas variantes de malware y nuevas técnicas de ataque utilizadas en esta campaña de Ryuk Ransomware.

Los Resultados

Infocyte HUNT fue fundamental para ayudar a descubrir nuevas variantes de malware y nuevas técnicas de ataque utilizadas en esta campaña de Ryuk Ransomware, incluida la confirmación de la presencia de los troyanos Trickbot y el dumper de credenciales Mimikatz. Las credenciales robadas y el troyano TrickBot, en este caso, pueden utilizarse como vector de entrada inicial para un ataque dirigido o como "dejar atrás" después de pagar el rescate para dar a los atacantes acceso a largo plazo a la red. El acceso remoto oculto también podría aprovecharse para garantizar un ataque más eficaz en todos los servicios/datos críticos o la repetición de rescates en el futuro.

El equipo de seguridad de Infocyte ayudó a nuestro socio a cerrar con éxito el vector de entrada del atacante y cualquier puerta trasera destinada a un uso futuro.

"Infocyte fue increíble y nos ahorró un montón de tiempo. Inmediatamente identificamos una infección de troyanos Mimikatz TrickBot, enmascarados tras el programa de rescate de Ryuk, y más".

- Lider de Respuestas a incidentes, Software Check Point

Seguimos observando un aumento de los ataques de software de rescate que aprovechan el robo de credenciales administrativas y dejan caer cargas útiles secundarias, como Trickbot, como si fueran "dejadas atrás" ocultas para retener el acceso a la red rescatada después de la reparación. Ataques como este demuestran una clara necesidad de ser proactivos y buscar amenazas en todo el entorno de TI.

Lea nuestro estudio de caso de biotecnología para saber más sobre lo que Infocyte HUNT encontró en este entorno y cómo se resolvió.