La struttura di gestione idrica ha assicurato l'accesso VPN e ha condotto una sessione di caccia alle minacce che ha identificato ogni macchina a cui gli aggressori sono riusciti ad accedere. Il modulo correttivo di QRadar EDR ha automatizzato la procedura di ripulitura, e il segmento è stato ripulito in pochi secondi. La struttura ha ottenuto tutti gli strumenti utilizzati durante la fase di riconoscimento e movimento laterale e ha immediatamente propagato nell’intera infrastruttura una politica comprendente IOC e comportamenti. Dopo l'implementazione della politica, non è stato identificato alcun ulteriore host compromesso. Sono state immediatamente reimpostate le credenziali di tutti gli utenti e in seguito all'attacco ransomware non sono stati necessari ulteriori interventi, in quanto il cliente ha abilitato la protezione anti-ransomware QRadar EDR per tutti i dispositivi, impedendo la perdita di informazioni importanti e l'interruzione delle normali attività.

La struttura ha chiuso con successo l'incidente il secondo giorno, senza alcuna perdita di dati, interruzione di servizi essenziali o danno agli endpoint.

Se la struttura non avesse utilizzato QRadar EDR, gli aggressori avrebbero sicuramente esfiltrato informazioni sensibili e sarebbero rimasti attivi per un periodo prolungato, e l’intera infrastruttura sarebbe alla fine stata disabilitata dall’attacco ransomware finale. Un attacco del genere avrebbe avuto un impatto enorme sulla capacità della struttura di continuare a fornire ai cittadini della regione servizi essenziali, potenzialmente bloccandoli del tutto. A causa della difficoltà di identificazione degli attacchi alla supply chain, la struttura avrebbe potuto essere stata nuovamente violata tramite lo stesso canale se non fossero state disponibili informazioni forensi per individuare con precisione la causa principale della violazione.