Anatomie d'une Attaque Ransomware : Kill Chain Complète

Les attaques ransomware représentent la menace cybercriminelle la plus destructrice de la décennie 2020, causant des milliards de dollars de pertes annuelles et paralysant des hôpitaux, des administrations et des entreprises critiques. Pourtant, derrière la simplicité apparente du concept — chiffrer des données et exiger une rançon — se cache une opération cybercriminelle sophistiquée en plusieurs phases, orchestrée par des groupes organisés utilisant des tactiques, techniques et procédures (TTPs) dignes d'acteurs étatiques. Cet article décortique l'anatomie complète d'une attaque ransomware moderne, depuis l'accès initial acheté à un Initial Access Broker jusqu'au déchiffrement (ou non) des données, en passant par le déploiement du payload, l'exfiltration des données, la négociation de la rançon et les techniques forensic pour investiguer l'incident. Nous documentons chaque phase avec les outils utilisés par les attaquants, les logs à surveiller, les indicateurs de compromission et les défenses correspondantes. Ce Deep Dive est un guide opérationnel tant pour les red teamers simulant ces attaques que pour les blue teamers cherchant à les prévenir et les détecter.

L'écosystème ransomware moderne : une industrie organisée

Le ransomware moderne fonctionne selon un modèle industriel appelé Ransomware-as-a-Service (RaaS). Ce modèle sépare les rôles et les compétences en une chaîne de valeur criminelle :

Phase 1 — Accès initial (T1190, T1566, T1078)

L'affilié obtient l'accès initial au réseau de la victime. Les trois vecteurs principaux en 2024-2025 sont :

Vecteur A : Exploitation de vulnérabilités exposées

Cible : VPN, appliances réseau, serveurs web. Vulnérabilités exploitées massivement : Citrix Bleed (CVE-2023-4966), MOVEit (CVE-2023-34362), Fortinet (CVE-2024-21762), Ivanti (CVE-2024-21887). L'affilié utilise Shodan, Censys ou des scans massifs pour identifier les cibles vulnérables, puis exploite la CVE pour obtenir un accès initial (reverse shell, webshell, ou credentials volés).

Logs à surveiller : Logs VPN/firewall (connexions anormales, géolocalisation inhabituelle), logs IDS/IPS (signatures d'exploitation), logs serveur web (requêtes malformées, webshells).

Vecteur B : Phishing avec payload

L'affilié envoie un email ciblé contenant un document Office avec macro malveillante, un lien vers un site de download, ou un fichier ISO/IMG contenant un LNK malveillant. Le payload initial est souvent un loader (QBot, IcedID, Pikabot, DarkGate) qui télécharge ensuite l'outil de post-exploitation.

Vecteur C : Achat d'accès auprès d'un IAB

L'affilié achète un accès pré-établi sur un forum du dark web. Les accès les plus courants : credentials VPN (volés par infostealers comme RedLine, Raccoon, Vidar), sessions RDP, accès Citrix, web shells, comptes Microsoft 365 compromis. Prix typique : 200-5 000 € selon la taille et le secteur de la cible.

Phase 2 — Exécution et persistance (T1059, T1547, T1053)

Une fois l'accès initial obtenu, l'affilié établit un point d'ancrage persistant sur le réseau :

Établissement du C2

L'attaquant déploie un agent C2 pour maintenir le contrôle à distance. Outils courants : Cobalt Strike (le plus utilisé, via des licences piratées), Brute Ratel C4, Sliver, Havoc. Le beacon communique avec le serveur C2 via HTTPS (port 443, difficile à distinguer du trafic légitime), DNS (exfiltration via requêtes DNS), ou SMB named pipes (mouvement latéral).

Techniques de persistance

• Tâches planifiées (schtasks.exe) — Event ID 4698 dans les Security logs
• Clés de registre Run/RunOnce — HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• Services Windows — sc.exe create, Event ID 7045
• WMI Event Subscriptions — Persistance fileless via WMI
• DLL Side-Loading — Placement d'une DLL malveillante à côté d'un exécutable légitime

Logs à surveiller : Event ID 4698 (tâche planifiée créée), 7045 (service installé), 4688 (processus créé avec command line logging), Sysmon Event ID 1 (ProcessCreate), 3 (NetworkConnect), 7 (ImageLoad).

Phase 3 — Évasion des défenses (T1562, T1070, T1036)

L'affilié neutralise les défenses avant de progresser. Techniques courantes :

• Désactivation de l'EDR/AV — Utilisation de drivers vulnérables (BYOVD — Bring Your Own Vulnerable Driver) pour obtenir un accès kernel et désactiver l'EDR. Drivers exploités : Process Explorer (procexp.sys), Zemana, dbutil_2_3.sys (Dell)
• Tampering ETW — Désactivation d'Event Tracing for Windows pour couper la télémétrie
• AMSI Bypass — Patching de l'Anti-Malware Scan Interface en mémoire
• Suppression des logs — wevtutil.exe cl Security / System / Application
• Timestomping — Modification des timestamps des fichiers pour compliquer la timeline forensic

Phase 4 — Reconnaissance interne (T1082, T1016, T1018)

L'attaquant cartographie le réseau pour identifier les cibles de valeur. Outils et commandes typiques :

Phase 5 — Escalade de privilèges et vol de credentials (T1003, T1558)

L'attaquant passe d'un compte utilisateur standard à un compte Domain Admin :

Techniques de credential harvesting

• Mimikatz — sekurlsa::logonpasswords (dump des credentials en mémoire), sekurlsa::wdigest, lsadump::dcsync
• LSASS dump — comsvcs.dll MiniDump, ProcDump, nanodump, direct syscalls
• Kerberoasting — Demande de tickets Kerberos TGS pour des service accounts, puis cracking offline des hashes
• AS-REP Roasting — Ciblage des comptes sans pré-authentification Kerberos
• NTDS.dit extraction — Copie de la base Active Directory via vssadmin/ntdsutil pour cracking offline de tous les hashes
• DCSync — Simulation d'un contrôleur de domaine pour répliquer tous les hashes (nécessite les droits Replicating Directory Changes)

Logs critiques : Event ID 4624 type 3/10 (logon réseau/RDP), 4672 (privilèges spéciaux), 4768/4769 (Kerberos TGT/TGS), Event ID 4662 (DS-Replication-Get-Changes pour DCSync).

Phase 6 — Mouvement latéral (T1021, T1570)

Avec des credentials Domain Admin, l'attaquant se propage sur le réseau :

• PsExec / SMBExec — Exécution de commandes à distance via SMB. Event ID 5145 (accès aux partages ADMIN$, IPC$)
• WMI — wmic /node:TARGET process call create. Event ID 4688
• WinRM / PowerShell Remoting — Enter-PSSession, Invoke-Command. Event ID 4103/4104 (ScriptBlock logging)
• RDP — Connexion interactive pour les actions manuelles. Event ID 4624 type 10
• Pass-the-Hash / Pass-the-Ticket — Utilisation de hashes NTLM ou tickets Kerberos volés

L'objectif est d'atteindre : les contrôleurs de domaine (contrôle total), les serveurs de fichiers (données à chiffrer), les serveurs de backup (à détruire), les serveurs de virtualisation (ESXi/Hyper-V pour un chiffrement massif).

Phase 7 — Exfiltration des données (T1041, T1567)

Avant le chiffrement, l'affilié exfiltre les données sensibles pour la double extorsion :

Outils d'exfiltration

• Rclone — Outil de synchronisation cloud légitime, utilisé pour copier des données vers Mega, pCloud, ou un serveur SFTP contrôlé par l'attaquant. Très courant dans les opérations ransomware
• WinSCP — Transfert SFTP vers un serveur externe
• FileZilla — FTP/SFTP
• MegaSync — Synchronisation directe vers le cloud Mega (chiffré, anonyme)
• Exfiltration via C2 — Download direct via le beacon Cobalt Strike (plus lent, plus discret)

Volume typique : 100 Go à 10 To de données exfiltrées sur 2 à 5 jours. Les attaquants ciblent en priorité : documents financiers, données clients/PII, propriété intellectuelle, emails de direction, contrats.

Détection : Surveillez les volumes de trafic sortant anormaux (NDR), les processus rclone.exe, WinSCP.exe, FileZilla sur des serveurs (pas habituel), les connexions vers des services cloud non approuvés (Mega, pCloud).

Phase 8 — Préparation et déploiement du chiffrement (T1486, T1490)

Pré-déploiement : destruction des sauvegardes

L'attaquant supprime ou chiffre les sauvegardes avant de lancer le ransomware :

• Volume Shadow Copies — vssadmin delete shadows /all /quiet
• Serveurs Veeam — Suppression des jobs et des repositories de backup
• Windows Recovery — bcdedit /set {default} recoveryenabled No
• Rotation des credentials backup — Changement des mots de passe des comptes de service backup

Déploiement du ransomware

Le ransomware est déployé massivement via :

• Group Policy Object (GPO) — Création d'une GPO déployant le payload sur tous les postes du domaine. Méthode la plus courante et la plus efficace
• PsExec — Déploiement ciblé sur les serveurs critiques
• Scheduled Tasks — Tâche planifiée pour exécution simultanée sur toutes les machines
• SCCM/Intune — Abus des outils de déploiement légitimes de l'organisation

Chiffrement

Le ransomware chiffre les fichiers avec un schéma hybride : AES-256 (symétrique, rapide) pour les données, RSA-2048/4096 ou Curve25519 (asymétrique) pour protéger la clé AES. Sans la clé privée de l'attaquant, le déchiffrement est mathématiquement impossible. Les ransomwares modernes chiffrent en parallèle (multi-threaded), ne chiffrent que les premiers Ko de chaque fichier (intermittent encryption — plus rapide, suffisant pour rendre les fichiers inutilisables), et ciblent les extensions les plus critiques (.docx, .xlsx, .pdf, .sql, .bak, .vmdk).

Phase 9 — Négociation et post-incident (T1657)

La note de rançon

Le ransomware dépose une note (README.txt, DECRYPT_INFO.html) contenant : un identifiant unique de victime, un lien vers le portail de négociation (site .onion sur Tor), un deadline avant publication sur le leak site, parfois un extrait des données exfiltrées comme preuve.

Processus de négociation

La négociation se fait via un chat sur le portail Tor. Les groupes ransomware emploient des négociateurs professionnels. Tactiques de pression : countdown timer, publication progressive de données, contact direct des clients de la victime, notification aux régulateurs. Les rançons varient de 100 000 € (PME) à plusieurs dizaines de millions (grands groupes). Des sociétés de négociation spécialisées (Coveware, GroupSense) interviennent côté victime.

Décision : payer ou ne pas payer

Timeline forensic et investigation

L'investigation post-incident reconstruit la timeline complète de l'attaque. Artefacts essentiels :

Défenses par phase de la kill chain

Prévention de l'accès initial

• Patch management agressif — VPN et appliances en priorité (Citrix, Fortinet, Ivanti)
• MFA partout — VPN, RDP, email, applications critiques. Résistant au phishing (FIDO2/passkeys)
• Email security — Anti-phishing avancé, sandboxing des pièces jointes, DMARC/SPF/DKIM strict
• Réduction de la surface d'attaque — ASM, fermeture des ports RDP exposés, segmentation DMZ

Détection et réponse

• EDR sur tous les endpoints — Détection comportementale, isolation automatique
• NDR — Détection du mouvement latéral, du C2, de l'exfiltration
• SIEM avec use cases ransomware — Détection de BloodHound, Mimikatz, PsExec, suppression de VSS
• Canary files — Fichiers leurres déclenchant une alerte en cas de chiffrement

Résilience

• Backups immutables — Règle 3-2-1-1 (3 copies, 2 médias, 1 offsite, 1 immutable/air-gapped)
• Tests de restauration réguliers — Un backup non testé n'est pas un backup
• Plan de réponse aux incidents — Playbook ransomware testé via tabletop exercises
• Segmentation réseau — Limiter la propagation latérale

FAQ — Questions fréquentes