Los responsables de seguridad de una empresa multinacional del sector financiero, mediante su Security Operation Center (SOC), detectan unas conexiones sospechosas a su sistema y solicita a Winterman un nivel de soporte avanzado para analizarlas.
Rápidamente iniciamos un análisis que constató, a las pocas horas, que nos encontrábamos ante una intrusión. Nuestra respuesta a Incidentes de Seguridad proporcionó un soporte rápido y eficaz, puesto que la respuesta temprana era vital para minimizar los daños.
Llevadas a cabo las medidas de contingencia oportunas para desactivar dicha intrusión, procedimos al análisis exhaustivo del alcance de la misma. En los siguientes días se analizaron múltiples aspectos a nivel forense, pudiendo así reconstruir la actividad llevada a cabo por los intrusos.
Los resultados arrojaron luz sobre lo que había sucedido. Los intrusos habían infectado algunos ordenadores de la empresa mediante correos electrónicos que contenían documentos adjuntos maliciosos.
La infección había permitido a los atacantes elevar sus privilegios y acceder a los servidores de la organización. Mediante otro software malicioso, especialmente diseñado para sus actividades, habían conseguido hacerse con información confidencial, pero no del más elevado nivel.
RESULTADO
Se pudo detener la intrusión en un estadio temprano, manteniendo fuera del alcance del ataque la información más sensible de la empresa. El análisis forense del software malicioso también permitió localizar parte de la infraestructura de los atacantes y se pudo estimar quién estaba detrás de dicho ataque, o Advanced Persistent Threat (APT).