Comprendre la cinétique d'une attaque ransomware

Contrairement à l'idée reçue, le chiffrement que vous observez n'est pas le début de l'attaque, c'est souvent la fin. Les attaquants ont généralement été présents dans votre réseau entre 3 et 90 jours avant de déclencher le ransomware. Pendant cette période de « dwell time », ils ont

  • Compromis un compte initial (phishing, credentials exposés, VPN vulnérable)
  • Effectué une reconnaissance réseau complète (cartographie AD, partages SMB, sauvegardes)
  • Escaladé les privilèges jusqu'aux droits Domain Admin
  • Exfiltré les données sensibles vers leurs serveurs C2
  • Compromis ou supprimé les sauvegardes accessibles depuis le réseau
  • Déployé le payload ransomware sur l'ensemble du parc simultanément
⛔ Erreur critique à ne pas commettre

Ne redémarrez JAMAIS les systèmes compromis avant investigation. La mémoire vive (RAM) contient des artefacts forensiques précieux, comme des clés de chiffrement, des processus malveillants et des connexions réseau actives, qui disparaissent au redémarrage. Vous détruisez vos preuves ET potentiellement vos chances de déchiffrement.

Heure 0–1, Détection et alerte initiale

Dès que vous suspectez une attaque ransomware (fichiers chiffrés, notes de rançon, alertes EDR, système lent inexpliqué), appliquez immédiatement ces actions

  • Déclenchez votre PCA et alertez la cellule de crise, RSSI, DSI, DG, service juridique
  • Contactez votre prestataire de réponse aux incidents, chaque minute de délai augmente le périmètre impacté
  • Prenez des photos de tous les écrans qui affichent la note de rançon ou le comportement anormal
  • NE payez pas la rançon sans avoir consulté un expert, le paiement ne garantit aucun déchiffrement et peut aggraver votre situation légale
  • Préservez les logs, exportez IMMÉDIATEMENT les logs SIEM, firewall, proxy des dernières 72h

Heure 1–2, Confinement d'urgence

L'objectif du confinement est d'arrêter la propagation sans détruire les preuves. Les actions à effectuer dans l'ordre

🔒 Protocole de confinement réseau

Isolez les segments réseau compromis au niveau du switch (VLAN, ACL) plutôt qu'en éteignant les machines. Coupez les accès VPN entrants. Bloquez les communications sortantes vers les IPs/domaines C2 identifiés au niveau du firewall périmétrique. Désactivez les comptes compromis sans les supprimer.

  • Identifier le patient zéro, quel système a été infecté en premier ? Via quels logs pouvez-vous retracer la propagation ?
  • Isoler le DC, si un Domain Controller est compromis, c'est votre priorité absolue. Couper sa connectivité réseau mais le laisser allumé pour preservation forensique
  • Identifier les sauvegardes survivantes, quels backups sont hors ligne ou offline (bande, stockage air-gapped) ?
  • Inventorier les systèmes critiques non encore atteints et les protéger en priorité

Heure 2–4, Investigation forensique initiale

Pendant que le confinement se met en place, l'équipe forensique commence à collecter les artefacts critiques

# Acquisition mémoire vive (à faire AVANT toute autre action sur machine compromise) winpmem.exe memory.raw # Collecte des logs Windows prioritaires wevtutil epl Security Security.evtx wevtutil epl System System.evtx wevtutil epl "Microsoft-Windows-Sysmon/Operational" Sysmon.evtx # Identifier les processus actifs suspects tasklist /v /fo csv > processes.csv netstat -ano > connections.txt

Les Event IDs Windows les plus utiles pour reconstituer l'attaque

Event IDSignificationPertinence ransomware
4624 / 4625Connexion réussie / échecIdentifier le compte initial compromis
4648Connexion avec credentials explicitesLateral movement, Pass-the-Hash
4688Création de processusExécution du ransomware, outils post-exploitation
7045Nouveau service installéPersistance, déploiement de l'agent C2
4698Tâche planifiée crééePersistance, déclenchement différé du chiffrement
4663Accès objet (fichier)Identifier le début du chiffrement de masse

Heure 4–5, Évaluation et communication

À ce stade, vous devriez avoir une vision suffisamment claire pour prendre les décisions critiques

  • Périmètre exact, combien de systèmes sont chiffrés ? Quelles données sont concernées ?
  • Identification du ransomware, utilisez ID Ransomware (nomoreransom.org) pour identifier la famille et vérifier l'existence de clés de déchiffrement publiques
  • Exfiltration de données ?, des données ont-elles été exfiltrées vers un serveur C2 ? Cela déclenche des obligations de notification CNIL sous 72h
  • Notification ANSSI/CNIL, si des données personnelles sont concernées, la notification CNIL est obligatoire sous 72h après la prise de connaissance de la violation
  • Assurance cyber, notifiez votre assureur dès que possible, la plupart des polices ont des délais stricts

Vous subissez une attaque en ce moment ?

ONYX-CYBER intervient en urgence sous 4h, confinement, investigation forensique, préservation des preuves et rapport post-incident.

Contacter en urgence 📞 07 71 45 41 63