Reconstruction d'une kill chain Akira Ransomware à partir de logs périmètre et endpoint

🔍 Contexte Publié le 28 mai 2026 sur le SANS Internet Storm Center par Manuel Humberto Santander Peláez (Handler SANS ISC), cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (canaux Security, System, PowerShell/Operational). Aucun EDR, aucun PCAP, aucun proxy log n’était disponible. 🚪 Accès initial (Stage 1) L’attaquant a conduit une attaque par brute-force ciblant un compte SSLVPN local unique, depuis une seule adresse IP dans une plage d’hébergeur. Le compte était désactivé dans Active Directory mais toujours provisionné localement sur le firewall, sans MFA. L’authentification réussie est intervenue après environ 6 heures d’attaque, sans pause — comportement typique du credential stuffing. ...

1 juin 2026 · 4 min

Reconstruction d'une kill chain Akira Ransomware via logs périmètre et endpoint

🔍 Contexte Publié le 27 mai 2026 par Manuel Humberto Santander Peláez sur le SANS Internet Storm Center, cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (Security, System, PowerShell/Operational). Aucun EDR, PCAP ou proxy log n’était disponible. 🎯 Environnement cible Forêt Active Directory mono-site derrière un NGFW périmétrique Accès distant via SSLVPN pour une petite équipe Logs firewall couvrant ~7 jours avant l’événement de chiffrement Exports EVTX de 2 contrôleurs de domaine et 3 serveurs membres 🔗 Déroulement de l’attaque Stage 1 – Accès initial : ...

27 mai 2026 · 3 min
Dernière mise à jour le: 14 juillet 2026 📝