Reconstruction d'une kill chain Akira Ransomware à partir de logs périmètre et endpoint

🔍 Contexte Publié le 28 mai 2026 sur le SANS Internet Storm Center par Manuel Humberto Santander Peláez (Handler SANS ISC), cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (canaux Security, System, PowerShell/Operational). Aucun EDR, aucun PCAP, aucun proxy log n’était disponible. 🚪 Accès initial (Stage 1) L’attaquant a conduit une attaque par brute-force ciblant un compte SSLVPN local unique, depuis une seule adresse IP dans une plage d’hébergeur. Le compte était désactivé dans Active Directory mais toujours provisionné localement sur le firewall, sans MFA. L’authentification réussie est intervenue après environ 6 heures d’attaque, sans pause — comportement typique du credential stuffing. ...

1 juin 2026 · 4 min

Reconstruction d'une kill chain Akira Ransomware via logs périmètre et endpoint

🔍 Contexte Publié le 27 mai 2026 par Manuel Humberto Santander Peláez sur le SANS Internet Storm Center, cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (Security, System, PowerShell/Operational). Aucun EDR, PCAP ou proxy log n’était disponible. 🎯 Environnement cible Forêt Active Directory mono-site derrière un NGFW périmétrique Accès distant via SSLVPN pour une petite équipe Logs firewall couvrant ~7 jours avant l’événement de chiffrement Exports EVTX de 2 contrôleurs de domaine et 3 serveurs membres 🔗 Déroulement de l’attaque Stage 1 – Accès initial : ...

27 mai 2026 · 3 min

DragonForce : profil complet du groupe RaaS à double extorsion (CCB, avril 2026)

🏛️ Contexte Le Centre for Cybersecurity Belgium (CCB), département CyTRIS, a publié le 29 avril 2026 un rapport de threat intelligence (version 1.0, TLP:CLEAR) consacré au groupe DragonForce, avec une date de coupure renseignement au 16 avril 2026. Ce rapport constitue un profil complet de l’acteur, couvrant sa motivation, son attribution, ses victimes, ses capacités techniques et son infrastructure. 🎯 Présentation de l’acteur DragonForce est un opérateur Ransomware-as-a-Service (RaaS) à double extorsion apparu en décembre 2023. Le groupe a compromis plus de 400 victimes à ce jour, dont deux organisations belges (secteurs construction et services aux entreprises). Sa motivation est exclusivement financière, sans affiliation politique ni sponsoring étatique identifié. ...

25 mai 2026 · 6 min
Dernière mise à jour le: 11 juillet 2026 📝