Le rapport analyse en détail les techniques utilisées par les groupes de ransomware les plus actifs (Conti, Lockbit, Hive, BlackCat, etc.). Ces groupes suivent généralement le même schéma d’attaque : ils commencent par pénétrer les réseaux via des failles non corrigées (ProxyShell, Fortinet…), des services exposés comme le RDP, ou [...]
Le rapport analyse en détail les techniques utilisées par les groupes de ransomware les plus actifs (Conti, Lockbit, Hive, BlackCat, etc.). Ces groupes suivent généralement le même schéma d’attaque : ils commencent par pénétrer les réseaux via des failles non corrigées (ProxyShell, Fortinet…), des services exposés comme le RDP, ou des e-mails de phishing contenant des fichiers piégés. Une fois dans le système, ils exécutent leur code à l’aide d’outils Windows légitimes tels que PowerShell, WMI, cmd ou mshta, afin de rester discrets. Ils installent aussi des mécanismes de persistance (tâches planifiées, services, clés de registre, comptes administrateurs créés) pour garder l’accès.
Les attaquants élèvent ensuite leurs privilèges en exploitant des vulnérabilités ou en manipulant des jetons de sécurité, ce qui leur permet d’agir comme des administrateurs du système. Ils procèdent à la découverte du réseau, se déplacent latéralement d’une machine à l’autre, puis désactivent les antivirus, modifient le pare-feu et effacent les journaux Windows afin d’effacer leurs traces. Avant de déclencher le chiffrement, ils suppriment les sauvegardes et les copies shadow pour empêcher toute récupération des données. Le rapport fournit enfin des recommandations de sécurité et de nombreuses règles SIGMA permettant de détecter précocement ces comportements et de renforcer la protection des entreprises.
Cyber Kill Chain (CKC) : Le guide détaille les sept étapes du cycle d’attaque développé par Lockheed Martin—Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control, et Action on objectives—et propose ...
