PRO+ Contenu Premium/Information Sécurité
Accédez au contenu Pro+ ci-dessous.
Cyberattaque : comment Caen a évité le pire grâce à l’EDR d’HarfangLab

Cet article fait partie de l’ezine Information Sécurité : Février 2023
Il est 15h50, le 26 septembre, lorsque David Cauvin, RSSI de Caen, se penche sur la console de la solution de détection et de réponse sur les hôtes du système d’information (EDR, Endpoint Detection and Response) et y découvre deux alertes. L’une concerne le serveur de messagerie Exchange, l’autre un contrôleur de domaine de l’environnement Active Directory (AD). Dans les deux cas, l’alerte signale la présence d’une balise (beacon, en anglais) Cobalt Strike. Sans attendre, le RSSI interpelle HarfangLab : en moins de cinq minutes, l’incident est pleinement qualifié. L’administrateur système est appelé sur le pont. Les équipes passent en gestion de crise. Car la situation est grave : ces balises permettent à un indélicat d’agir sur les machines concernées, sinon de les contrôler pleinement. À la clé : le risque du déploiement et du déclenchement d’un rançongiciel sur l’ensemble des machines liées au contrôleur de domaine concerné. Une réaction rapide et salutaire Les deux machines affectées ont été aussitôt isolées. Mais elles ...
A lire Dans ce numéro
-
Comment l’EDR s’est imposé avec l’évolution de la menace cyber
Les témoignages de cyberattaques avortées grâce à la visibilité additionnelle apportée par la détection et réponse sur les hôtes – combinée à la réactivité des équipes en charge de la sécurité opérationnelle – se multiplient.
-
Cyberattaque : comment Caen a évité le pire grâce à l’EDR d’HarfangLab
La collectivité a profité des suites d’un démonstrateur en attente de contractualisation pour détecter les prémices du possible déploiement d’un rançongiciel. L’intrusion est avérée, le nettoyage en cours, mais le chiffrement a été évité. Et très probablement le vol de données aussi.
-
Cyberattaque au centre hospitalier de Versailles : la piste d’un usurpateur de LockBit
Le ransomware LockBit 3.0, dit « Black », semble avoir été utilisé contre l’hôpital André-Mignot au Chesnay-Rocquencourt, mais à l’insu de la franchise éponyme. L’offensive aurait été détectée par un EDR, et n’a, hélas, pas été bloquée.