Leçons tirées d’une récente restauration post-rançongiciel

Les stratégies de restauration suite à une attaque par rançongiciel, c’est bien en théorie, mais c’est encore mieux en pratique, en apprenant d’expériences concrètes.

Un rançongiciel a récemment infecté un client international du secteur de la fabrication, affectant 17 contrôleurs de domaine sur plusieurs continents. L’attaque a également brouillé les mots de passe Active Directory de 98 % des comptes utilisateur, y compris ceux d’un nombre incalculable de comptes de service.

Au départ, aucun des 17 contrôleurs de domaine ne semblait affecté. Mais après en avoir isolé un sur le réseau, l’équipe informatique a découvert des fichiers chiffrés dans SYSVOL. Ils auraient pu simplement avoir été répliqués à partir d’un autre contrôleur de domaine, mais puisque les rançongiciels aiment se propager via des stratégies de groupe, il était primordial de s’assurer que le logiciel malveillant ne se cachait pas ailleurs sur le serveur. Par conséquent, l’équipe a dû restaurer son réseau et le protéger contre une éventuelle réinfection par la même occasion. Une tâche ardue, mais ce sont les véritables exigences d’une restauration post-rançongiciel.