Une entreprise multinationale repousse une cyberattaque multiphase du groupe Muddled Libra

Investigation des preuves numériques pour identifier les systèmes et comptes impactés.

Sécurisation des comptes et isolement des systèmes compromis, démarrage de la reconstruction Active Directory et renforcement des pare-feu.

Restauration des systèmes impactés dans un état sécurisé, éradication de la présence malveillante et renforcement de la protection contre les vulnérabilités.

Surveillance continue des activités non autorisées ; évaluation de la portée des opérations de latéralisation et de reconnaissance.

Investigation approfondie pour identifier les outils et techniques utilisés par les attaquants.

Implémentation de mesures supplémentaires pour limiter les risques, avec blocage des accès à certains outils et mise à jour des politiques de sécurité.

Identification des données exfiltrées ; rétablissement des systèmes impactés ; détection et correction des vulnérabilités.

Analyse des tentatives d’accès non autorisées à un domaine tiers virtualisé ; évaluation des risques et de l’exposition potentielle.

Investigation approfondie pour déterminer l’ampleur des accès non autorisés et des éventuelles exfiltrations de données.

Sécurisation du domaine tiers, renforcement des contrôles d’accès et évaluations de la sécurité.

Identification des données exfiltrées ; restauration du domaine tiers dans un état sécurisé ; détection et correction des vulnérabilités.

Renforcement de la posture de sécurité du domaine tiers ; implémentation de contrôles de sécurité supplémentaires et d’audits réguliers.

Évaluation de l’impact et de l’exposition potentielle après des accès non autorisés au partage de fichiers et aux e-mails.

Investigation approfondie pour identifier les comptes concernés et l’ampleur des données consultées ou manipulées.

Sécurisation des comptes et systèmes impactés ; réinitialisation des mots de passe ; implémentation d’une surveillance et de contrôles d’accès supplémentaires.

Récupération des données compromises ; rétablissement des comptes et systèmes ; identification et correction des vulnérabilités.

Optimisation des mesures de protection des données, implémentation de contrôles DLP et renforcement des protocoles de sécurité des e-mails.

Analyse de l’impact global de l’intrusion réseau et de l’efficacité des mesures de sécurité ; évaluation de l’état de préparation aux futurs incidents.

Identification des vulnérabilités restantes ou d’autres domaines d’amélioration ; examen des processus IR et des politiques de sécurité.

Implémentation de contrôles de sécurité additionnels, tests d’intrusion et optimisation du monitoring.

Surveillance continue et threat hunting proactif pour vérifier que les accès non autorisés aux systèmes ont été intégralement bloqués.

Utilisation des enseignements tirés de l’incident pour impulser des améliorations stratégiques durables, avec formations et évaluations régulières de la sécurité.