Source: Huntress — Dans un billet technique, Huntress détaille une enquête d’incident Qilin avec télémétrie minimale, reconstruite grâce à des artefacts Windows pour retracer l’attaque du premier accès jusqu’au chiffrement.
Les analystes ont travaillé sans EDR, SIEM ni canaris ransomware, s’appuyant sur des journaux d’événements Windows, AmCache et les journaux Program Compatibility Assistant (PCA). Ils ont identifié l’installation d’un RMM ScreenConnect non autorisé, des transferts de fichiers suspects (r.ps1, s.exe, ss.exe) et une progression de l’attaque allant de l’accès RDP à l’exécution du ransomware. 🧭
Les artefacts montrent que l’exécution PowerShell a été bloquée par la politique d’exécution, que s.exe (un infostealer) a échoué à s’exécuter (hash fourni), et que l’acteur a altéré Windows Defender (événements 5001 et 5007 indiquant la désactivation de la protection en temps réel). 🛡️
Le ransomware a été déployé à distance via des partages réseau, déclenchant des détections « Behavior:Win32/GenRansomNote ». La chronologie reconstruite décrit précisément la séquence: RDP → déploiement RMM rogue (ScreenConnect) → tentative d’infostealer → basculement/altération de Defender → déploiement du ransomware. 🔗
IOCs:
- IP: 94.156.232[.]40
- Fichiers: r.ps1, s.exe, ss.exe
- Hash (s.exe, infostealer): af9925161d84ef49e8fbbb08c3d276b49d391fd997d272fe1bf81f8c0b200ba1
- Détection: Behavior:Win32/GenRansomNote
TTPs observés:
- Accès initial via RDP
- Abus de RMM ScreenConnect pour la persistance/contrôle
- Tentative d’infostealer (échec signalé par AmCache/PCA)
- Altération de Windows Defender (événements 5001, 5007)
- Déploiement du ransomware via des partages réseau
- Utilisation/échec de PowerShell (bloqué par policy)
Type d’article: rapport d’incident à visée analytique/forensique montrant la valeur d’une corrélation multi-sources en contexte de visibilité limitée.
🔗 Source originale : https://www.huntress.com/blog/looking-at-qilin-ransomware-attack
🖴 Archive : https://web.archive.org/web/20251023081026/https://www.huntress.com/blog/looking-at-qilin-ransomware-attack