Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Comment un cabinet d'avocats international a stoppé une attaque de ransomware à l'aide d'Illumio

Ron Isaacson
Directeur principal, Architecture d'entreprise
Illumio Editorial
Juin 24, 2022
23 min. lire

Un cabinet d'avocats international a été victime d'un ransomware

L'attaque s'est rapidement étendue à une douzaine de serveurs.

Les attaquants étaient prêts à infiltrer l'ensemble du réseau et à prendre l'entreprise en otage. 

Mais ce cabinet d'avocats était prêt. Ils avaient Illumio. Et en utilisant notre technologie, ils :

  • Limitation de l'attaque à 12 serveurs seulement 
  • Identification des systèmes compromis et mise en quarantaine en quelques secondes
  • a mis fin à l'attaque quelques heures seulement après la violation initiale 
  • Mettre fin à la menace avant que les attaquants ne puissent crypter ou voler des données sensibles et nuire à l'entreprise et à ses clients.

Dans cet article, nous vous expliquons comment le cabinet d'avocats international a stoppé l'attaque du ransomware avec une rapidité sans précédent, tout en évitant des dommages importants à ses systèmes informatiques, à son activité et, surtout, à ses clients. 

De l'intrusion à l'expulsion en quelques heures : Chronologie d'une attaque

Cela aurait dû être un désastre.

Le cabinet d'avocats comptait des milliers d'utilisateurs, de serveurs et de postes de travail répartis sur des dizaines de sites dans le monde entier. Elle comptait des centaines de clients et stockait une multitude de données sensibles et de documents juridiques dans son infrastructure numérique.

L'entreprise était une cible de choix pour les ransomwares, et un jour, c'est arrivé. Ils ont été attaqués. 

Mais l'attaque a échoué. Les cybercriminels ont été expulsés en quelques heures. Voici comment cela s'est passé, comme l'a raconté à Illumio le responsable informatique qui a dirigé la réponse à l'incident pour le cabinet d'avocats.

En raison de la nature sensible de cet incident, tous les noms et détails d'identification n'ont pas été divulgués.

La brèche initiale : Lundi en début d'après-midi

L'un des employés de l'entreprise a reçu un courriel d'hameçonnage provenant d'un client qui avait été compromis par les attaquants.

"Les pirates ont été sournois", déclare le dirigeant. "Ils ont envoyé un URL vers un supposé fichier Excel, mais il ne s'agissait pas d'un hyperlien. Notre employé a donc copié l'URL dans son navigateur pour télécharger le fichier".

Mais rien ne s'est passé. Elle a donc contacté le service d'assistance informatique de l'entreprise pour l'aider à accéder au fichier, ignorant encore qu'il s'agissait d'un code malveillant.

2:00 PM : Début de l'attaque 

L'employé du service d'assistance a copié l'URL dans son navigateur. Cela a déclenché l'exécution du logiciel malveillant par le fichier armé. 

"Le fichier Excel exécutait une macro qui permettait aux acteurs malveillants de compromettre son poste de travail et d'accéder aux privilèges de son compte", explique le dirigeant.

14 H 00 - 15 H 40 : L'attaquant passe inaperçu

La machine du technicien informatique est restée en ligne sans être contrôlée pendant près de deux heures, ce qui a donné aux criminels le temps d'explorer et d'évaluer la meilleure façon de mener leur attaque.

"Les acteurs malveillants ont effectué leurs balayages de réseau avec beaucoup de soin et de lenteur, de sorte que leurs mouvements étaient pratiquement indétectables", explique-t-il.

Les attaquants ont fini par trouver des serveurs auxquels ils pouvaient accéder grâce aux privilèges qu'ils avaient acquis sur le poste de travail du service d'assistance. C'est à ce moment-là qu'ils ont tiré.

15 H 40 - 16 H 00 : Les attaquants passent à l'action

Les attaquants ont d'abord chiffré les fichiers de base de données sur un serveur SQL. Le serveur s'est alors bloqué. Le groupe informatique du cabinet d'avocats a immédiatement remarqué la panne, l'a examinée et y a décelé des signes de ransomware. 

"Notre administrateur de base de données m'a appelé à 18 heures pour me dire qu'il pensait que nous avions été touchés par un ransomware", raconte-t-il.

16:00 - 16:50 : Création de la salle de crise

Le responsable informatique a informé son DSI de ce qui s'était passé. C'est un appel qu'aucun DPI ne souhaite recevoir. Il craint le pire. Ils savaient que l'horloge avait commencé à tourner.

Le cabinet d'avocats a dû orchestrer sa réponse - rapidement.

"En l'espace d'une quinzaine de minutes, j'ai lancé un appel Zoom et rencontré des membres de nos équipes informatiques et de sécurité", explique-t-il. "Nous nous sommes plongés dans les registres pour savoir ce qui s'est passé et ce qui était déjà compromis.

16:50 - 18:15 : Comprendre l'attaque

Nous avons rapidement trouvé les journaux qui pointaient vers notre "patient zéro" - le poste de travail du service d'assistance informatique qui hébergeait l'URL malveillante et le fichier du ransomware", explique-t-il.

Mais cela n'a pas suffi. Ils avaient besoin de savoir où l'attaque avait pu se propager. 

"À ce moment-là, les minutes s'égrènent", explique le dirigeant. "Nous avons rapidement isolé ce poste de travail et commencé à examiner l'environnement dans son ensemble pour comprendre l'ampleur de l'attaque".

L'équipe d'intervention a fait appel à son fournisseur de services de sécurité gérés (MSSP) pour l'aider à retrouver les pirates. 

À l'aide de son outil de gestion des informations et des événements de sécurité (SIEM), qui comprend des données sur le trafic des applications en temps réel provenant d'Illumio, le MSSP a pu interroger le SIEM et déterminer que les attaquants avaient atteint 11 autres serveurs, y compris un serveur en nuage fonctionnant sur Microsoft Azure.

Au fur et à mesure que l'équipe travaillait, elle pouvait constater, grâce à la télémétrie en temps réel, que l'ampleur de l'attaque s'étendait sous ses yeux. Le temps presse. 

6:20 PM : Illumio met fin à l'attaque

Le cabinet d'avocats a dû agir rapidement pour contenir la brèche.

Grâce à Illumio, l'équipe a pu immédiatement placer les 12 serveurs - y compris l'instance Azure - dans un anneau de segmentation, sans accès au réseau ou aux ressources informatiques.

En fin de compte, c'est cette action décisive qui a permis de stopper net l'attaque. 

"Littéralement, en quelques clics de glisser-déposer, nous avons pu mettre en quarantaine tous les systèmes concernés", explique le dirigeant. "Si nous avions essayé de le faire avec des méthodes conventionnelles, cela aurait pris beaucoup plus de temps et aurait donné aux acteurs malveillants de nombreuses occasions de passer à d'autres systèmes et de continuer à se propager. Avec Illumio, nous avons pu les arrêter immédiatement. Ils n'avaient aucun moyen de sauter ailleurs pour nous échapper et continuer à se répandre. Leur plaisir pour la soirée était terminé".

18 H 20 - 1 H 00 : Évaluer les dégâts

La menace a pris fin, mais il reste du travail à faire. 

"Nous avons dû enquêter sur l'ensemble de l'attaque pour voir si les acteurs malveillants avaient volé des données", explique le dirigeant. "En tant que cabinet d'avocats, si nous perdions des données, nous devrions en informer nos clients. Cela porterait atteinte à la réputation de l'entreprise et pourrait être très préjudiciable".

Il a engagé une société de réponse aux incidents (IR) pour enquêter sur l'étendue de l'attaque. 

Du mardi au vendredi : Recherche de preuves de données exfiltrées 

Le groupe des TI du cabinet d'avocats a installé l'agent logiciel de l'entreprise de RI, puis a utilisé Illumio pour lui envoyer en toute sécurité les fichiers des machines compromises (afin de s'assurer que rien d'autre n'était accidentellement réinfecté). L'équipe des RI s'est mise au travail. 

"À partir de là, il ne nous restait plus qu'à attendre", explique le dirigeant.

À la fin de la semaine, l'équipe des RI a conclu son enquête. 

"Ils sont revenus nous dire qu'aucun autre système n'avait été compromis et ils ont confirmé qu'il n'y avait pas eu d'exfiltration de données", précise-t-il. 

La nouvelle n'aurait pas pu être meilleure. Et les résultats ont été sans précédent. 

"Tout le monde - de l'équipe de réponse aux incidents à notre MSSP - nous a dit qu'il n'avait jamais vu une entreprise réagir aussi rapidement à une attaque de ransomware", déclare le dirigeant. "Ils ont déclaré qu'il était rare qu'une attaque se limite à une douzaine de systèmes, car elle se propage très rapidement. C'est pourtant ce que nous avons fait, grâce à Illumio".

La défense contre les ransomwares facilitée

Le responsable des TI affirme que si Illumio a joué un rôle essentiel dans l'arrêt réactif de la violation, son déploiement des capacités de segmentation zéro confiance d'Illumio avant la violation a également fait une différence cruciale. 

Bien que l'entreprise n'ait achevé le déploiement d'Illumio qu'à environ 40 %, les contrôles d'accès déjà en place ont considérablement restreint les voies et les options dont disposaient les pirates lors de l'attaque, ce qui a contribué à les ralentir et à limiter de manière significative ce à quoi ils pouvaient accéder une fois à l'intérieur du réseau.

"Si nous n'avions pas déjà commencé à mettre en œuvre Illumio pour segmenter notre environnement, cette attaque aurait été beaucoup plus grave", déclare le dirigeant. "Les acteurs malveillants auraient pu trouver plusieurs chemins pour sortir du poste de travail et se propager beaucoup plus loin, beaucoup plus vite.  

Les leçons tirées de la défense réussie du cabinet d'avocats contre une attaque de ransomware sont claires : ayez la bonne direction, les bonnes équipes et les bons contrôles en place pour être prêt à réagir immédiatement en cas de violation. 

"Ce n'est qu'une question de temps avant que vous ne subissiez votre propre violation", déclare le dirigeant. "De nos jours, il est essentiel de mettre en place une microsegmentation pour limiter les mouvements latéraux lorsque des pirates ou des logiciels malveillants pénètrent inévitablement dans votre réseau. Illumio nous a permis de le faire d'une manière qui n'était pas possible auparavant. Cela a fait toute la différence".

Apportez Illumio à votre organisation dès aujourd'hui et soyez prêt à arrêter les ransomwares - avant qu'ils ne prennent votre entreprise en otage. 

  • Lisez l'étude de cas complète pour plus de détails sur l'attaque de l'entreprise.
  • Obtenez le rapport sur l'impact de la confiance zéro pour savoir comment les organisations abordent la confiance zéro et constatent les avantages quantifiables de la mise en œuvre de la segmentation.
  • Découvrez comment mettre en œuvre une segmentation zéro confiance rapide, simple et évolutive dans notre guide Réaliser une segmentation zéro confiance avec Illumio.
  • Planifiez une consultation gratuite et une démonstration avec nos experts en segmentation zéro confiance.

Sujets connexes

No items found.

Articles connexes

Stopper REvil : Comment Illumio peut perturber l'un des groupes de ransomware les plus prolifiques
Ransomware Containment

Stopper REvil : Comment Illumio peut perturber l'un des groupes de ransomware les plus prolifiques

Découvrez comment la segmentation zéro confiance d'Illumio peut aider à arrêter REvil, l'un des groupes de ransomware les plus prolifiques qui s'attaquent aux opérations de la chaîne d'approvisionnement.

Read more
Démystifier les techniques de ransomware à l'aide d'assemblages .Net : 5 techniques principales
Ransomware Containment

Démystifier les techniques de ransomware à l'aide d'assemblages .Net : 5 techniques principales

Découvrez 5 techniques de ransomware utilisant le cadre logiciel .Net.

Read more
Ransomware Hive : Comment limiter son impact avec la segmentation Illumio Zero Trust
Ransomware Containment

Ransomware Hive : Comment limiter son impact avec la segmentation Illumio Zero Trust

Apprenez-en davantage sur le ransomware Hive et sur la façon dont Illumio peut aider à atténuer les risques posés à votre organisation.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more