Skip to content

Investigation à large périmètre suite à une compromission par le ransomware Conti

RÉFÉRENCES

Retrouvez toutes nos références

LEXFO a réalisé de nombreuses missions dans des contextes variés et sensibles et dispose de références dans différents secteurs d’activité.
 

Investigation à large périmètre suite à une compromission par le ransomware Conti

CONTEXTE, OBJECTIFS & DESCRIPTION

Le CSIRT LEXFO a été sollicité par une société de service pour intervenir sur un SI d’environ 300 serveurs et 1 800 utilisateurs. Le parc avait été impacté par le ransomware Conti, qui avait alors chiffré l’ensemble des machines virtuelles et une partie des postes de travail.

Les objectifs étaient les suivants :

  • Récupérer les données chiffrées et assister le client dans son plan de reprise d’activité
  • Comprendre le processus d’attaque et identifier le patient zéro (vecteur de compromission et origine de l’attaque)
  • Analyser l’étendue de la compromission, ainsi que le mode opératoire des attaquants afin d’éviter une reprise des activités malveillantes
  • Assister le client dans son plan de reprise d’activité

La mission s’est déroulée en plusieurs étapes :

  • Collecte d’éléments de preuve variés
  • Analyses système et réseau à l’aide d’outils dédiés et développés par le CSIRT LEXFO
  • Rétro-ingénierie de code malveillant (reverse)
  • Recherche d’indicateurs de compromission (IOC)

Mission

MODALITÉS D'INTERVENTION

Périmètre de la mission : SI d’environ 300 serveurs et 1 800 utilisateurs
Localisation : Locaux LEXFO

FACTEURS-CLÉS DE SUCCÈS
  • Expérience de pointe en réponses à incidents
  • Expertise avancée en techniques d’attaques et menaces cyber
  • Connaissance approfondie du contexte métier et des enjeux du client
PARTAGER LA RÉFÉRENCE