Men angriperne hadde allerede fått tilgang...
Kunden er en del av en landsdekkende kjede med flere titall lokale forhandlere, som over flere år har hatt et tett samarbeid med Sodvin på IT og sikkerhet. Med et stadig mer avansert trusselbilde har virksomheten bevisst valgt å styrke IT-sikkerheten betydelig de siste årene, nettopp for å håndtere denne typen hendelser.
Senere samme natt logget hackerne seg inn på kontoen. De utnyttet tidspunktet, da ingen er aktive og ingen følger med. Deretter startet de et målrettet angrep:
Målet var å operere usynlig og få full innsikt i virksomhetens kommunikasjon, før så kunne følge potensielle pengestrømmer.
Det angriperne ikke visste, var at kunden hadde SIKKER M365 med døgnkontinuerlig overvåkning fra Sodvin Operations Center (SOC).
Systemene fanget raskt opp avviket i form av pålogging fra uvanlig geografisk lokasjon, mistenkelig aktivitet i kontoen og opprettelse av skjulte e-postregler. Varsling ble utløst, hvorpå AI-automatikk og vårt SOC-team tok umiddelbart over. Hendelsen ble klassifisert som et aktivt angrep, og tiltak ble iverksatt:
Totalt tok det 8 minutter fra angrepet startet til det var oppdaget, varslet, stoppet – og løsningen gjenopprettet til normal tilstand.
Da kunden møtte på jobb neste dag, var situasjonen allerede under kontroll. De ble møtt med en full gjennomgang av hendelsen. Hva som hadde skjedd, hvordan angrepet oppsto, og hvilke tiltak som var gjennomført for å stoppe det. All aktivitet fra angriperne var analysert, fjernet og dokumentert, og kontoen var sikret på nytt. I tillegg fikk kunden en e-post med konkret e-opplæring i hvordan lignende angrep kan unngås i fremtiden. Resultatet var at ingen data kom på avveie, og ingen videre skade oppsto.
Denne hendelsen viser verdien av å kombinere gode IT-løsninger med sårbarhetsmonitorering og døgnkontinuerlig overvåkning. Når brukerkontoer først er kompromittert, er det responstiden som avgjør utfallet.
Uten slik overvåkning kan phishing-angrep utvikle seg til alvorlige hendelser, med tap av data, driftsstans og i verste fall svekket tillit i markedet. Med SIKKER M365 får virksomheten kontinuerlig overvåkning, varsling og et SOC-team som reagerer når det faktisk gjelder.
Phishing og identitetstyveri er blant de mest brukte angrepsmetodene i dag. Det er ikke et spørsmål om det skjer, men når. Forskjellen ligger i hva som skjer etterpå.
Vil du vite hvordan SIKKER M365 kan beskytte din virksomhet?
Ta kontakt med oss i Sodvin for en gjennomgang av deres sikkerhetsnivå.