top of page

Retour d'expérience (RETEX) : La cyberattaque d'une entreprise du retail.

En plein cœur de la période des fêtes 2023, une société du retail a été confrontée à une cyberattaque qui aurait pu compromettre gravement son système d'information (SI). Nos équipes d'experts ont été mobilisées en urgence pour contrer l'attaque et protéger l'intégrité des opérations de l'entreprise.


La trajectoire de l'attaquant dans le SI de cette entreprise est un récit complexe mais instructif.


Voici un résumé des actions qu'il a entreprises au cours de cette attaque :


1. Accès initial via un compte compromis

L'attaquant a réussi à pénétrer dans le système d'information en exploitant un compte d'accès initial compromis.


2. Exploration interne et mouvement latéral

Une fois à l'intérieur, l'attaquant a procédé à un scan interne de l'infrastructure, puis a effectué des déplacements latéraux dans le SI pour explorer et identifier les points d'accès potentiels.


3. Analyse interne et propagation

À travers des actions répétées d'analyse interne et de mouvement latéral, l'attaquant a consolidé sa position dans le système d'information, préparant le terrain pour la phase suivante de l'attaque.


4. Propagation du Lockbit à travers le réseau

L'attaque a atteint un niveau critique lorsque le malware Lockbit a été propagé à travers le réseau, menaçant de paralyser l'ensemble des opérations de l'entreprise.



Ces actions se sont déroulées sur une période de cinq jours, mettant en lumière les défis complexes auxquels sont confrontées les entreprises lorsqu'elles sont confrontées à des cyberattaques.



 

Indicateurs de performance et détection


Malgré la sophistication de l'attaque, les équipes SOC de Cyna ont déployé des mesures efficaces pour contenir et contrer l'attaque.


Voici quelques faits saillants de leur travail :


  • Portée de l'infrastructure surveillée : 950 actifs sous gestion, avec un Data Center sous surveillance.

  • Vulnérabilités identifiées : 46 actifs obsolètes (EOL), 564 vulnérabilités critiques.

  • Détecteurs d'activité : Identification de 5 outils d'accès à distance différents et 156 types de stockage de masse utilisés.

  • Gestion des versions obsolètes : 9 actifs utilisant des versions obsolètes d'Adobe Flash Player depuis 4 ans.


L'intervention rapide et efficace de l'équipe SOC a permis d'arrêter la progression de l'attaquant, évitant ainsi des dommages encore plus graves à l'entreprise.


Pour plus d'informations sur notre SOC managé 24/7 cliquez sur le bouton ci-dessous.



 

Conclusion : Renforcement de la sécurité


En conclusion, cet incident souligne l'importance d'une cybersécurité robuste pour protéger les entreprises contre les cybermenaces.


L’entreprise s'engage à renforcer sa posture de sécurité et à collaborer étroitement avec ses équipes pour prévenir de futures attaques.


Nous continuerons à soutenir leurs efforts de protection et de sécurisation de leur système d'information, afin de garantir un fonctionnement sûr et fiable de leurs activités.


Restez à l'écoute pour plus de mises à jour sur nos initiatives de sécurité et nos mesures de protection contre les cybermenaces.


 

Cet article résume efficacement les événements de l'attaque tout en mettant en avant les actions positives prises pour y faire face et les mesures prises pour prévenir de futures attaques.




72 vues

Comments


bottom of page