Le CSIRT LEXFO a été sollicité par une société de service pour intervenir sur un SI d’environ 300 serveurs et 1 800 utilisateurs. Le parc avait été impacté par le ransomware Conti, qui avait alors chiffré l’ensemble des machines virtuelles et une partie des postes de travail.
Les objectifs étaient les suivants :
- Récupérer les données chiffrées et assister le client dans son plan de reprise d’activité
- Comprendre le processus d’attaque et identifier le patient zéro (vecteur de compromission et origine de l’attaque)
- Analyser l’étendue de la compromission, ainsi que le mode opératoire des attaquants afin d’éviter une reprise des activités malveillantes
- Assister le client dans son plan de reprise d’activité
La mission s’est déroulée en plusieurs étapes :
- Collecte d’éléments de preuve variés
- Analyses système et réseau à l’aide d’outils dédiés et développés par le CSIRT LEXFO
- Rétro-ingénierie de code malveillant (reverse)
- Recherche d’indicateurs de compromission (IOC)