Le rapport analyse en détail les techniques utilisées par les groupes de ransomware les plus actifs (Conti, Lockbit, Hive, BlackCat, etc.). Ces groupes suivent généralement le même schéma d’attaque : ils commencent par pénétrer les réseaux via des failles non corrigées (ProxyShell, Fortinet…), des services exposés comme le RDP, ou [...]
Cyber Kill Chain (CKC) : Le guide détaille les sept étapes du cycle d’attaque développé par Lockheed Martin—Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control, et Action on objectives—et propose des contre-mesures pour chaque étape.
Unified Cyber Kill Chain (UCKC) : Il présente également l’UCKC comme une évolution pour couvrir à la fois les menaces internes et externes (insider and outsider threats), avec des phases comme Initial Foothold, Network Propagation, et Actions on Objectives.
Threat Hunting : Le Threat Hunting est considéré comme un complément essentiel aux outils de sécurité automatisés et au SOC (Security Operations Center). Il doit être intentionnel, s’appuyer sur une hypothèse, et combiner des styles de chasse “Open” et “Targeted”.
Analyse des Journaux (Event Logs) : Les journaux d’événements Windows sont une source de données cruciale pour l’analyse forensique et le Threat Hunting, permettant d’identifier des TTPs (Tactics, Techniques, and Procedures) tels que la création de processus inhabituels ou la modification de services.
Mouvement Latéral : Le mouvement latéral (Lateral Movement) est une phase critique de l’attaque, souvent réalisée avec des outils légitimes comme PsExec ou RDP, dans le but d’accéder à des ressources sensibles ou d’escalader les privilèges.
Abus de PowerShell : PowerShell est une cible privilégiée pour les attaquants en raison de ses capacités, y compris l’exfiltration de données et l’escalade de privilèges. Le guide fournit des chaînes de caractères (strings) et des processus parents suspects pour le détecter.
Architecture de Sécurité : Il met l’accent sur la nécessité d’une architecture de sécurité par conception, incluant la segmentation du réseau (Segmentation) et la surveillance continue (Continuous Security Monitoring – CSM).
Équipes de Réponse aux Incidents : Le document décrit la structure et les responsabilités des équipes de réponse aux incidents, telles que le CSIRT (Computer Security Incident Response Team) et le SIRT (Security Incident Response Team).
Machine Learning (ML) : L’apprentissage automatique est présenté comme une technique avancée pour le Threat Hunting, particulièrement utile pour la détection d’anomalies (Unsupervised Learning) au-delà des signatures traditionnelles.
Conformité et Forensique : Le guide répertorie des cadres de conformité (par exemple GDPR, HIPAA, NIST CSF) et décrit les responsabilités du professionnel en Forensique Numérique (Digital Forensics), soulignant l’importance de la chaîne de possession (chain of custody) et de l’intégrité des preuves.
Le rapport décrit les opérations du ransomware BlackSuit, un groupe criminel qui cible les organisations en compromettant leurs réseaux avant de chiffrer les données et d’exfiltrer des informations sensibles. BlackSuit ...
