EnquĂȘte Huntress sur Qilin: intrusion via RDP, abus de ScreenConnect et dĂ©ploiement de ransomware sur des partages rĂ©seau
Source: Huntress â Dans un billet technique, Huntress dĂ©taille une enquĂȘte dâincident Qilin avec tĂ©lĂ©mĂ©trie minimale, reconstruite grĂące Ă des artefacts Windows pour retracer lâattaque du premier accĂšs jusquâau chiffrement. Les analystes ont travaillĂ© sans EDR, SIEM ni canaris ransomware, sâappuyant sur des journaux dâĂ©vĂ©nements Windows, AmCache et les journaux Program Compatibility Assistant (PCA). Ils ont identifiĂ© lâinstallation dâun RMM ScreenConnect non autorisĂ©, des transferts de fichiers suspects (r.ps1, s.exe, ss.exe) et une progression de lâattaque allant de lâaccĂšs RDP Ă lâexĂ©cution du ransomware. đ§ ...