Le 29/08/2022 à 15h 05

Le principal comportement d’un bitlocker, ransomware, est d’abord de s’infiltrer dans le SI cible, s’approprier les droits nécessaires pour ensuite pouvoir se déplacer latéralement.

Si ça se trouve, ça fait déjà des semaines que le groupe d’attaquants est déjà *dans les murs” pour analyser et affiner l’attaque.

Les derniers outils en matière de ransomware permettent d’ajuster avec finesse la stratégie de chiffrement : les backup en premier (vérifiez vous toutes les heures l’état des backup ou vous ne le faites qu’une fois par jour, le matin de préférence?), l’authentification en second (LDAP, AD en général dans les hôpitaux), puis le reste. Tout cela est très facilement scriptable.

Pour les négociateurs, ils peuvent jouer un rôle : le gain de temps par exemple permet de mieux analyser d’où vient l’attaque et de quelle manière elle s’est propagée. L’identification de la source de l’attaque et depuis combien de temps ils se “baladent” dans le SI va permettre d’en apprendre plus sur le groupe et pourquoi pas les démanteler. Le “quelle manière” va surtout servir dans la reconstruction du SI : sécuriser la faille critique exploitée pour mieux reconstruire le cœur du système.