Comprendre la cinétique d'une attaque ransomware
Contrairement à l'idée reçue, le chiffrement que vous observez n'est pas le début de l'attaque, c'est souvent la fin. Les attaquants ont généralement été présents dans votre réseau entre 3 et 90 jours avant de déclencher le ransomware. Pendant cette période de « dwell time », ils ont
- Compromis un compte initial (phishing, credentials exposés, VPN vulnérable)
- Effectué une reconnaissance réseau complète (cartographie AD, partages SMB, sauvegardes)
- Escaladé les privilèges jusqu'aux droits Domain Admin
- Exfiltré les données sensibles vers leurs serveurs C2
- Compromis ou supprimé les sauvegardes accessibles depuis le réseau
- Déployé le payload ransomware sur l'ensemble du parc simultanément
Ne redémarrez JAMAIS les systèmes compromis avant investigation. La mémoire vive (RAM) contient des artefacts forensiques précieux, comme des clés de chiffrement, des processus malveillants et des connexions réseau actives, qui disparaissent au redémarrage. Vous détruisez vos preuves ET potentiellement vos chances de déchiffrement.
Heure 0–1, Détection et alerte initiale
Dès que vous suspectez une attaque ransomware (fichiers chiffrés, notes de rançon, alertes EDR, système lent inexpliqué), appliquez immédiatement ces actions
- Déclenchez votre PCA et alertez la cellule de crise, RSSI, DSI, DG, service juridique
- Contactez votre prestataire de réponse aux incidents, chaque minute de délai augmente le périmètre impacté
- Prenez des photos de tous les écrans qui affichent la note de rançon ou le comportement anormal
- NE payez pas la rançon sans avoir consulté un expert, le paiement ne garantit aucun déchiffrement et peut aggraver votre situation légale
- Préservez les logs, exportez IMMÉDIATEMENT les logs SIEM, firewall, proxy des dernières 72h
Heure 1–2, Confinement d'urgence
L'objectif du confinement est d'arrêter la propagation sans détruire les preuves. Les actions à effectuer dans l'ordre
Isolez les segments réseau compromis au niveau du switch (VLAN, ACL) plutôt qu'en éteignant les machines. Coupez les accès VPN entrants. Bloquez les communications sortantes vers les IPs/domaines C2 identifiés au niveau du firewall périmétrique. Désactivez les comptes compromis sans les supprimer.
- Identifier le patient zéro, quel système a été infecté en premier ? Via quels logs pouvez-vous retracer la propagation ?
- Isoler le DC, si un Domain Controller est compromis, c'est votre priorité absolue. Couper sa connectivité réseau mais le laisser allumé pour preservation forensique
- Identifier les sauvegardes survivantes, quels backups sont hors ligne ou offline (bande, stockage air-gapped) ?
- Inventorier les systèmes critiques non encore atteints et les protéger en priorité
Heure 2–4, Investigation forensique initiale
Pendant que le confinement se met en place, l'équipe forensique commence à collecter les artefacts critiques
Les Event IDs Windows les plus utiles pour reconstituer l'attaque
| Event ID | Signification | Pertinence ransomware |
|---|---|---|
| 4624 / 4625 | Connexion réussie / échec | Identifier le compte initial compromis |
| 4648 | Connexion avec credentials explicites | Lateral movement, Pass-the-Hash |
| 4688 | Création de processus | Exécution du ransomware, outils post-exploitation |
| 7045 | Nouveau service installé | Persistance, déploiement de l'agent C2 |
| 4698 | Tâche planifiée créée | Persistance, déclenchement différé du chiffrement |
| 4663 | Accès objet (fichier) | Identifier le début du chiffrement de masse |
Heure 4–5, Évaluation et communication
À ce stade, vous devriez avoir une vision suffisamment claire pour prendre les décisions critiques
- Périmètre exact, combien de systèmes sont chiffrés ? Quelles données sont concernées ?
- Identification du ransomware, utilisez ID Ransomware (nomoreransom.org) pour identifier la famille et vérifier l'existence de clés de déchiffrement publiques
- Exfiltration de données ?, des données ont-elles été exfiltrées vers un serveur C2 ? Cela déclenche des obligations de notification CNIL sous 72h
- Notification ANSSI/CNIL, si des données personnelles sont concernées, la notification CNIL est obligatoire sous 72h après la prise de connaissance de la violation
- Assurance cyber, notifiez votre assureur dès que possible, la plupart des polices ont des délais stricts
Vous subissez une attaque en ce moment ?
ONYX-CYBER intervient en urgence sous 4h, confinement, investigation forensique, préservation des preuves et rapport post-incident.
Contacter en urgence 📞 07 71 45 41 63