Reconstruction d'une kill chain Akira Ransomware via logs périmètre et endpoint
🔍 Contexte Publié le 27 mai 2026 par Manuel Humberto Santander Peláez sur le SANS Internet Storm Center, cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (Security, System, PowerShell/Operational). Aucun EDR, PCAP ou proxy log n’était disponible. 🎯 Environnement cible Forêt Active Directory mono-site derrière un NGFW périmétrique Accès distant via SSLVPN pour une petite équipe Logs firewall couvrant ~7 jours avant l’événement de chiffrement Exports EVTX de 2 contrôleurs de domaine et 3 serveurs membres 🔗 Déroulement de l’attaque Stage 1 – Accès initial : ...