Utmaningen
En fil infekterad med skadlig kod identifierades på en anställds dator. Även om filen raderades automatiskt, borde cybersäkerhetsavdelningen ha säkerställt att den infekterade filen togs bort helt och hållet och att filsystemet var hotfritt.
Uppgifter som ska slutföras:
- Lokalisera de återstående infekterade filerna
- Förstå orsakerna till händelsen
- Förhindra ytterligare skada.
Myndigheten saknade dock den relevanta expertis och de verktyg som behövdes för att snabbt utreda incidenten.
Med känsliga offentliga data och kritisk systemdrift i riskzonen var insatserna höga.
Av denna anledning begärde myndigheten FS Groups tjänster för incidenthantering.
Lösningen
- FS Group använde den digitala forensiska plattformen Autopsy Digital Forensics för att undersöka den tillhandahållna SSD-enheten med det infekterade filsystemet.
- Genom att söka med nyckelord från det infekterade dokumentet hittade FS Groups specialist mappen där den infekterade filen sannolikt fanns. Därefter, genom att använda nyckelord från denna mapp, hittade FS Group sedan antivirusloggar med information om den skadliga programvaran.
- Resultatet av antivirusskanningen indikerade att Word-filerna var infekterade genom filen “vbaProject.bin”. “Microsoft Visual Basic for Applications (VBA)” är en binär fil som innehåller kod för VBA-program, vilket möjliggör processautomatisering i Microsoft Office-produkter som Excel, Word, PowerPoint och andra. Den kan innehålla makron som utför specifika uppgifter inom program som stöder VBA.
Med hjälp av denna information antog FS-gruppen att dokumenten var infekterade via skadliga Office-makron. När en användare laddar ner Office-dokumentet och övertygas av falska varningar att aktivera makron, exekveras den skadliga koden och infekterar användarens system.
Resultat
Som ett resultat, FS Group
- Lokaliserade källan till de infekterade filerna i systemet.
- Identifierade sårbarheten: det sätt på vilket skadlig kod infekterade de anställdas dator.
- Förberedde en detaljerad 20-sidig rapport med skärmdumpar, referenser och länkar.
- Optimerade utredningstiden och tog mindre än 1 vecka på sig att genomföra en detaljerad incidentutredning och förbereda rapporten.
- Stödde myndighetens cybersäkerhetsteam och vidtog lämpliga åtgärder i rätt tid för att garantera säkerheten för den kritiska organisationen.
attacker med skadlig kod under 2023.
Den genomsnittliga kostnaden för ett dataintrång i den offentliga sektorn år 2023.
av beslutsfattarna inom IT-säkerhet anser att de måste reagera snabbare på incidenter.
