https://cyberveille.ch/tags/nltest/ Recent content in Nltest on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Wed, 27 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-27-reconstruction-d-une-kill-chain-akira-ransomware-via-logs-perimetre-et-endpoint/ Wed, 27 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-27-reconstruction-d-une-kill-chain-akira-ransomware-via-logs-perimetre-et-endpoint/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 27 mai 2026 par Manuel Humberto Santander Peláez sur le SANS Internet Storm Center, cet article présente la reconstruction complète d&rsquo;une <strong>kill chain Akira ransomware</strong> dans une organisation de taille moyenne, en utilisant exclusivement des <strong>syslogs SSLVPN de pare-feu</strong> et des <strong>exports EVTX Windows</strong> (Security, System, PowerShell/Operational). Aucun EDR, PCAP ou proxy log n&rsquo;était disponible.</p> <h2 id="-environnement-cible">🎯 Environnement cible</h2> <ul> <li>Forêt <strong>Active Directory</strong> mono-site derrière un <strong>NGFW périmétrique</strong></li> <li>Accès distant via <strong>SSLVPN</strong> pour une petite équipe</li> <li>Logs firewall couvrant ~7 jours avant l&rsquo;événement de chiffrement</li> <li>Exports EVTX de 2 contrôleurs de domaine et 3 serveurs membres</li> </ul> <h2 id="-déroulement-de-lattaque">🔗 Déroulement de l&rsquo;attaque</h2> <p><strong>Stage 1 – Accès initial :</strong></p>