Les cybercriminels ont signé leur malware AV-killer, étroitement lié à un autre malware connu sous le nom de BURNTCIGAR, avec un certificat WHCP légitime.
Soyons francs : les bons vieux avertissements lancés aux utilisateurs ne suffisent plus, les experts en technologies ayant d'ailleurs une part de responsabilité dans cette situation. Chester Wisniewski vous propose une approche différente.
Après avoir obtenu l'accès via le RDP, les trois acteurs malveillants ont chiffré les fichiers, et l’investigation qui a suivi a été rendue difficile par la suppression des logs d’événement et l’utilisation des sauvegardes. 3 attaquants, 2 semaines et 1 point d'entrée.
Notre dernier rapport montre bien que la manière la plus agréable de tirer les leçons du chaos dans lequel se trouve impliquée l'équipe Rapid Response est de découvrir comment les évènements se sont déroulés pour un tiers.