Le vendredi 14 Septembre dernier, un établissement financier de plusieurs centaines de collaborateurs a fait face à une attaque informatique via un ransomware. Les équipes de AISI ont été contactées pour pallier rapidement à cette menace. AISI est intervenu en s’appuyant sur la solution Sentinel One
Nous avons reçu un appel le vendredi 19h30 de la part du DSI de cet établissement (suite à la recommandation d’un partenaire) nous demandant d’intervenir au plus vite suite à une attaque ayant généré le chiffrement de leur serveur de comptabilité. Apparemment la machine avait été infectée par un Ransomware, tout comme certains postes de travail, par conséquent l’intégralité du système d’information a été mis hors ligne pour limiter l’impact de l’attaque. Pourtant, le client bénéficiait de deux solutions d’antivirus (Poste de travail + serveurs) n’ayant pas stoppé l’attaque. Dès ce premier appel nous avons demandé à notre partenaire Sentinel One de nous préparer une console de management pour ce client.
Suite à l’appel d’AISI, nous avons mis à disposition en 30 min une console d’administration dédiée à ce client ainsi que les agents associés. Ainsi les équipes d’AISI pouvaient utiliser notre solution pour éradiquer la menace, investiguer et protéger les endpoints du client contre une éventuelle propagation ou récidive de l’attaque. Les agents pour récupérer les logs, investiguer et analyser la menace.
La console était opérationnelle à 20h et prête pour le déploiement. A partir de ce moment, j’ai contacté Fabien, Rodolphe et Miguel de AISI pour nous aider à déployer la solution.
Nous avons fait un point avec Rodolphe et Miguel pour définir des hypothèses quant au ransomware qui avait infecté les machines. Nous avons proposé au client une conférence téléphonique à 22h afin de lui présenter notre plan d’action.Durant cette conférence téléphonique, le client a validé notre approche et le démarrage de notre intervention dès le lendemain. Il a été défini qu’une première prestation serait effectuée le samedi (2 ingénieurs sécurité) et une seconde le dimanche (3 ingénieurs sécurité).
Le client avait déjà confiné une grande partie de son SI. Nous avons identifié avec son aide le poste potentiellement infecté (patient 0). Nous avons étudié les logs du poste pour confirmer son infection et pour comprendre pourquoi, comment et à quelle heure le ransomware a été déclenché. Puis l’analyse de la machine par Sentinel One a confirmé notre analyse, la machine que nous avions identifiée était bien infectée. Les journées de Samedi & dimanche ont ensuite permis l’analyse des autres endpoints et le déploiement de la solution Sentinel One sur l’ensemble du parc informatique. Ce déploiement s’est fait sans reconnecter les endpoints du site au système d’information. Puis afin de protéger et analyser les devices mobiles un déploiement de Sentinel One a été effectué via le MDM du client.
C’est un comportement classique de ransomware, qui crypte les fichiers présents sur le parc informatique. Le but étant d’inciter l’utilisateur à payer une rançon pour obtenir une clé de déchiffrement.
Impressionné. Nous avons été réactifs et rapides pour comprendre et isoler l’attaque afin d’éviter qu’elle se déploie et qu’elle se régénère sur le réseau. Le problème était résolu le lundi, avec quelques ajustements à régler mais l’ensemble des équipes ont pu reprendre le travail comme ci rien ne s’était passé. Le client nous a avoué que peu de prestataires (y compris la société d’infogérance avec laquelle il travaillait) auraient pu à sa connaissance faire preuve d’une telle réactivité.
Cette prestation a également permis de confirmer la robustesse des solutions Sentinel One.
Oui, j’ai déja a 2 ou 3 reprises eu ce type d’intervention à gérer. En effet, les antivirus classiques ne protègent plus suffisamment des nouvelles menaces, qui sont de plus en plus sophistiquées. Et les conséquences, comme les pertes d’activité, peuvent être désastreuses pour une entreprise. Je souligne les compétences d’AISI à comprendre les malwares & ransomwares et ainsi répondre parfaitement à la problématique du client lors de ce type de prestation d’Incident Response.
Nous conseillons d’utiliser les dernières technologies en matière de sécurité, et par conséquent des solutions qui s’appuient sur l’analyse comportementale pour mieux détecter les attaques de dernière génération telles que Sentinel One. Tout en s’appuyant sur un prestataire de type MSSP (Managed Security Services Provider) tel que AISI qui grâce à son expertise, sa réactivité et son implication les clients pourront anticiper ce type d’attaque, ou le cas échéant être accompagnés pendant et après ce type d’attaque. Dans ce cas précis, AISI a su relever le challenge et solutionner le problème en un temps record.
Contacter-nous pour plus d’information.
Restez informé de toutes les actus cyber & AISI.