
Résumé de l’incident
- Une entreprise manufacturière des États-Unis a récemment été ciblée par le groupe de pirates rançonneurs Play. L’incident s’est produit une nuit au petit matin.
- À 1 h 00, les criminels sont parvenus à accéder frauduleusement à un contrôleur de domaine insuffisamment protégé.
- À 3 h 20, le gang a tenté de lancer l’exécution de son logiciel rançonneur. Il a ciblé un certain nombre de points de terminaison qui étaient surveillés par notre centre d’opérations de sécurité (SOC).
- Notre SOC a décelé l’attaque, alerté notre client et pris des mesures de réponse automatisées.
- À 3 h 23 du matin, les pirates étaient déjà bloqués et l’accès au réseau de notre client leur avait été coupé.
L’usage de notre SOC est inclus dans le service de XDR géré de Barracuda. Ce service de visibilité, de détection et de réponse étendues (XDR) fonctionne en continu pour nos clients et fournit des prestations de détection des menaces, d’analyse des systèmes et d’atténuation des risques. Il recourt à des méthodes basées aussi bien sur des interventions humaines que sur l'IA, afin de protéger nos utilisateurs contre les menaces sophistiquées.
Le déroulement de l'attaque
L'attaque a eu lieu au cours de la nuit d’un mardi d'octobre.
- Vers une heure du matin, les acteurs de la menace sophistiquée ont commencé leur attaque. Ils ont commencé par profiter d’identifiants mal sécurisés associés à un compte d'administrateur de domaine. Cette méthode leur a permis de s'authentifier auprès d'un serveur de contrôle à distance insuffisamment protégé, à partir duquel ils prévoyaient de mener à bien l'ensemble de leur opération.
- Leur cible ne disposait pas d’un système de XDR en fonctionnement pour assurer la sécurité de ses serveurs. Une lacune était donc présente dans les capacités de surveillance mises en œuvre, ce qui a empêché de déceler les activités anormales sur le contrôleur de domaine dès le début de l’attaque.
Le cœur de l'attaque
- Les pirates ont ensuite tenté de persévérer. Ils ont cherché à contrôler à distance l’hôte qu’ils visaient. Pour ce faire, ils ont installé sur leur serveur cible une application légitime destinée à la surveillance et à la gestion à distance (RMM).
- Ensuite, ils ont employé la tactique d’attaque consistant à « vivre de la terre » (« Living off the Land », LotL). Dans cette optique, ils ont recouru à PsExec, outil Windows natif souvent utilisé à mauvais escient par les acteurs malveillants. Les pirates se sont servis de PsExec pour créer de nouveaux fichiers destinés à faire durer leur attaque.
- Les attaquants ont ensuite tenté d'interroger le registre de leur cible pour en extraire la clé SysKey, dans le but de se procurer frauduleusement des identifiants et de manœuvrer latéralement. À ce stade, notre système de XDR est intervenu. Son dispositif de sécurisation des terminaux a détecté l’opération malveillante en cours et l’a neutralisée.
- Les criminels ont ensuite cherché à enrayer le système de défense auquel ils faisaient face. Ils ont essayé de désactiver le pare-feu du système d'exploitation de leur cible, de manipuler Windows Defender et d’éliminer les doubles de certains fichiers. Toutes ces tentatives ont également été déjouées par le dispositif de sécurisation des terminaux de notre système de XDR.
- Pour finir, les pirates ont essayé à 3 h 20 de lancer l’exécution du logiciel rançonneur Play, en vue de crypter un certain nombre d’éléments appartenant à leur cible. C’est encore l’outil de protection des terminaux de notre système de XDR qui a rapidement neutralisé cette tentative.
- À 3 h 23, les points d'accès ciblés par les criminels avaient été isolés du reste du réseau visé. La tentative d'attaque avait échoué.
Restaurer et récupérer
- L'agent SentinelOne de notre système de XDR, qui fait partie du dispositif de sécurisation des terminaux, est entré en jeu. Tout au long du déroulement de l'attaque, il a mis fin aux processus malveillants, il a mis en quarantaine les fichiers indésirables et il a atténué les effets néfastes produits.
- Les règles ajustables de notre outil Storyline Active Response (STAR), élaborées par les ingénieurs du centre de sécurité de Barracuda, ont été efficaces. Elles ont permis de détecter correctement l’opération de manipulation de fichiers qui indiquait une tentative de chiffrement de données. En conséquence, les mesures de réponse qui s’imposaient ont bien été prises, ce qui a permis d’isoler les points de terminaison ciblés par les pirates.
- Les analystes du centre de sécurité de Barracuda, qui travaillent 24 heures sur 24 et 7 jours sur 7, sont intervenus par mesure de précaution. Ils ont isolé tous les autres points de terminaison sur lesquels des activités suspectes avaient été observées.
- Notre centre d’opérations de sécurité a également émis des commandes de retour en arrière, afin de restaurer les points de terminaison ciblés à l’état où ils étaient avant l’apparition des menaces.
- Ce centre a analysé les événements constatés et en a déterminé la chronologie. De plus, il a dressé la liste des éléments clés en rapport à l’attaque, qui comprennent le compte d’administrateur mal sécurisé, le serveur infiltré et les communications utilisant une adresse IP malveillante.
- Il a également fourni des conseils très importants à l'organisation ciblée pour l'aider à renforcer la sécurité de son environnement.

Les principaux outils et techniques utilisés lors de l'attaque

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter