De l’intrusion à la latéralisation : quand un lien de trust devient la porte d’entrée vers un second domaine
Résumé
En novembre, un acteur malveillant a exploité des comptes aux mots de passe faibles pour s’infiltrer via un accès VPN, puis a pris le contrôle d’un premier domaine Active Directory.
Grâce à un lien de trust, il a ensuite étendu sa compromission à un second domaine, illustrant la dangerosité des mouvements latéraux dans un environnement mal protégé.
Cet article retrace étape par étape le parcours de l’attaquant, analyse les indicateurs de compromission (IOCs) et les extraits de logs clés, et démontre comment une simple négligence — un seul compte vulnérable — peut servir de point d’entrée à une attaque aux conséquences dévastatrices pour l’ensemble du système d’information.
Une étude de cas qui rappelle l’importance cruciale de la segmentation, de la surveillance des accès et de l’hygiène des comptes.
Définition
Lien de trust : Un lien de trust (ou relation d’approbation) dans Active Directory est un mécanisme qui permet à deux domaines ou forêts de partager des ressources et d’autoriser l’authentification entre eux.
Concrètement :
Il établit une relation de confiance entre deux environnements Active Directory.
Un utilisateur authentifié dans un domaine peut ainsi accéder à des ressources situées dans un autre, sans devoir créer un compte séparé.
Les trusts peuvent être unidirectionnels (un domaine fait confiance à l’autre) ou bidirectionnels (les deux se font mutuellement confiance).
Ils peuvent aussi être transitifs (la confiance s’étend à d’autres domaines liés) ou non transitifs (limitée aux deux domaines concernés).
👉 En résumé, un lien de trust dans Active Directory sert à établir une interconnexion sécurisée entre domaines/forêts pour faciliter la collaboration et la gestion centralisée des accès.
Aperçu des activités
Le 5 novembre, un acteur inconnu a compromis un domaine Active Directory aux États-Unis. L’intrusion a débuté via un accès VPN utilisant des comptes anciens aux mots de passe faibles. Dès lors, l’attaquant a enchaîné des scans réseau et des mouvements latéraux sur l’infrastructure via RDP et SMB. Il a également créé une archive sur un partage de fichiers et tenté d’extraire des comptes locaux depuis la mémoire LSASS et la base SAM.
L’environnement ciblé présentait plusieurs lacunes de sécurité : absence d’EDR sur les machines du domaine, mots de passe faibles inchangés depuis plusieurs années et un équipement VPN vulnérable à la CVE‑2024‑40766.
L’ensemble des éléments observés laisse penser à une attaque opportuniste exploitant des failles de sécurité. Ce résumé introductif prépare la lecture du schéma ci-dessous, qui détaille les TTP de l’attaquant et la chronologie de son intrusion.
Dans le déroulé de l’attaque :
➔ Accès au travers du VPN via un compte valide
➔ L’attaquant a principalement utilisé des commandes système et des outils de scan réseau
➔ L’attaquant s’est latéralisé au travers des services RDP & SMB sur le parc
➔ Nous observons la création d’une archive lors de l’attaque sur un partage de fichier
➔ Le domaine ne disposait pas d’EDR au moment de l’incident, l’attaquant a donc ciblé la détection Windows Defender AV au travers de l’ajout d’une exclusion
➔ L’attaquant a obtenu des comptes via un accès à la mémoire du processus LSASS et a tenté d’obtenir des comptes locaux sur le filer via un dump de la SAM
➔ Tentative de latéralisation vers un second domaine en utilisant un lien de trust
Infrastructure
| Serveur | Infrastructure |
| DTC-DC01 / DTC-FS / DTC-REMOTE / DTC-WKS-VEENA | REDACTED1 - Entreprise USA |
| SRVDC10 / SRVDC11 / SRVFILES / SRVVCenter | REDACTED2 - Entreprise FR |
Synthèse des éléments clés
Les heures sont exprimées en UTC.
18 octobre 2024 (Suspicion) :
18h58 : Connexion SMB avec le compte REDACTED1\Administrator depuis le VPN REDACTED1
19h02 : Tentative d’exploitation de ZeroLogon sur DTC-DC01
04 novembre 2024 :
- 20h41 : Accès SMB suspect sur DTC-D01 depuis le VPN avec le compte 3points
05 novembre 2024 :
10h46 : Tentatives de connexion sur la console vCenter avec les comptes linuxprinter et vmware depuis le VPN REDACTED1
11h22 : Connexion de l’utilisateur vmware sur DTC-DC01 depuis la machine « kali »
11h33 : Reconnaissance Active Directory depuis le VPN REDACTED1
06 novembre 2024 :
05h56 : Connexion réseau du compte REDACTED1\Administrator depuis le VPN REDACTED1 sur SrvDC10
06h05 : Password spraying sur 588 utilisateurs inexistants sur le domaine ad.REDACTED2.fr depuis le VPN REDACTED1
06h09 : Mouvement latéral sur DTC-FS avec l’utilisateur vmware
06h14 : Mouvement latéral sur DTC-DC01 avec l’utilisateur vmware
06h19 : Création d’une exclusion sur le disque C de DTC-DC01 dans Windows Defender
06h24 : Détection d’un password spraying depuis le VPN REDACTED1 Sur l’AD REDACTED2
06h27 : Dump de la mémoire LSASS sur DTC-DC01
06h28 : Exécution d’Advanced IP Scanner sur DTC-FS
06h35 : Exécution de Netscan sur DTC-DC01
06h37 : Exécution de Netscan sur DTC-FS
06h46 : Bruteforce sur REDACTED2\Administrateur sur SrvDC10 depuis le VPN REDACTED1
06h53 : Password spraying sur 248 utilisateurs sur le domaine ad.REDACTED2.fr depuis le VPN REDACTED1
06h54 : Connexion avec les comptes REDACTED1\vmware, REDACTED2\svc_varonis et REDACTED1\Administrator dans le domaine ad.REDACTED2.fr
07h13 : Bruteforce sur REDACTED2\Administrateur sur SrvDC10 depuis le VPN REDACTED1
07h35 : Connexion de svc_varonis sur srvfiles
07h49 : Dump SAM sur srvFiles avec l’utilisateur svc_varonis
07h49 : Détection SentinelOne de la tentative de latéralisation avec le compte svc_varonis
09h10 : Début de la réponse à incident
09h20 : Coupure du lien de trust entre l’AD REDACTED2 et REDACTED1
Techniques employées
Les méthodes et le niveau de l’attaque ne présentent pas savoir-faire particulier de la part de l’acteur malveillant, non plus l’utilisation d’un mécanisme de persistance ou de Command And Control.
Accès initial
Lors de l’attaque, les connexions de l’attaquant sur l’infrastructure 1 & 2 ont eu lieu depuis le VPN. L’activité relevée sur le domaine Active Directory REDACTED2 provient du VPN, à l’adresse IP 10.0.11.3 & 10.0.11.4. Cependant, la durée de rétention des informations dans l’appliance SonicWall et sur le contrôleur de domaine DC10 n’ont pas permis d’identifier le compte utilisé par l’acteur malveillant pour réaliser l’accès initial.
<13>Nov 05 11:12:35 SRVDC10 AgentDevice=WindowsLog AgentLogFile=Security
PluginVersion=7.3.1.28 Source=Microsoft-Windows-Security-Auditing
Computer=SRVDC10.ad.REDACTED2.fr OriginatingComputer=192.9.100.14User=
Domain= EventID=4625 EventIDCode=4625 EventType=16 EventCategory=12544
RecordNumber=8480307780 TimeGenerated=1730801553 TimeWritten=1730801553
Level=Log Always Keywords=Audit Failure Task=SE_ADT_LOGON_LOGON
Opcode=Info Message=An account failed to log on. Subject: Security ID:
NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3
Echec de connexion depuis le VPN sur le SRVDC10
<13>Nov 06 08:38:08 SRVDC10 AgentDevice=WindowsLog AgentLogFile=Security
PluginVersion=7.3.1.28 Source=Microsoft-Windows-Security-Auditing
Computer=SrvDC10.ad.REDACTED2.fr OriginatingComputer=192.9.100.14User=
Domain= EventID=5140 EventIDCode=5140 EventType=8 EventCategory=12808
RecordNumber=8558617054 TimeGenerated=1730878687 TimeWritten=1730878687
Level=Log Always Keywords=Audit Success Task=SE_ADT_OBJECTACCESS_SHARE
Opcode=Info Message=A network share object was accessed. Subject:
Security ID: REDACTED2\svc_varonis Account Name: svc_varonis Account Domain:
REDACTED2 Logon ID: 0x9E86A135 Network Information: Object Type: File Source
Address: 10.0.11.4 Source Port: 58321 Share Information: Share Name:
\\*\SYSVOL Share Path: \??\C:\Windows\SYSVOL_DFSR\sysvol Access Request
Information: Access Mask: 0x1 Accesses: ReadData (or ListDirectory)
Enumeration SYSVOL depuis le VPN
Les analyses permettent de confirmer que le VPN a été utilisé par l’attaquant.
Exécution & Persistence
Au 5 novembre, l’attaquant disposait déjà de 2 comptes administrateur du domaine (vmware & linuxprinter).
Les traces d’exécutions relevées sur le serveur DTC-DC01 sont lié à des actions de reconnaissance et d’obtention d’identifiants. Dans les journaux système Windows, l’identifiant 7045 montre les créations de service.
Création du service Fvulj0Ph - Dump LSASS :
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e26931d2012f4}" EventSourceName="Service Control Manager"/>
<EventID Qualifiers="16384">7045</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2024-11-06T06:27:18.568368100Z"/>
<EventRecordID>2124578</EventRecordID>
<Correlation/>
<Execution ProcessID="996" ThreadID="2928"/>
<Channel>System</Channel>
<Computer>DTC-DC01.internal.REDACTED1.com</Computer>
<Security UserID="S-1-5-21-3424303706-2858332368-4041963730-1202"/>
</System>
<EventData>
<Data Name="ServiceName">Fvulj0Ph</Data>
<Data Name="ImagePath">%COMSPEC% /Q /c cMD.ExE /Q /c for /f "tokens=1,2 delims=
" ^%A in ('"tasklist /fi "Imagename eq lsass.exe" | find "lsass""') do rundll32.exe
C:\windows\System32\comsvcs.dll, #+0000^24 ^%B \Windows\Temp\sfptVhaJ.sql
full</Data>
<Data Name="ServiceType">user mode service</Data>
<Data Name="StartType">demand start</Data>
<Data Name="AccountName">LocalSystem</Data>
</EventData>
</Event>
Le service créé ci-dessus le 06 novembre à 06h27 permet à l’acteur de réaliser un dump de la mémoire du processus LSASS sur DTC-DC01.
On retrouve en parallèle le dépôt par l’attaquant de deux outils de scan réseau et leurs exécutions :
- Netscan :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{C
EBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count] UserAssist entry: 14 Value name:
C:\ProgramData\netscan - Copy\netscan\netscan.exe Count: 2 Application focus count:
13 Application focus duration: 835484
- Advanced IP Scanner sur DTC-FS :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{
CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count] UserAssist entry: 10 Value name:
%PROGRAMFILES% (%SYSTEMDRIVE%\Program Files)\Advanced IP
Scanner\advanced_ip_scanner.exe Count: 1 Application focus count: 0 Application
focus duration: 120027
Nous retrouvons l’utilisation des utilitaires Windows comme Powershell, invite de commande, notepad & l’outil de capture d’écran. L’acteur disposant d’un accès VPN semble avoir utilisé la distribution Kali Linux, comme le montrent les authentifications relevées par Microsoft Defender for Identity.
{"Count":"1","Category":"Initial Access","AttackTechniques":"Valid Accounts
(T1078), Domain Accounts (T1078.002)","SourceAccountId":"2c1240c5-bd71-4269-9e2bc89692798c68","SourceAccountSid":"S-1-5-21-3424303706-2858332368-4041963730-
1202","SourceComputerOperatingSystemType":"unknown","DestinationComputerObjectGuid"
:"4ee9de90-762e-4e0f-8bb3-
e299fa1b7030","DestinationComputerOperatingSystem":"windows server 2019
datacenter","DestinationComputerOperatingSystemVersion":"10.0
(17763)","DestinationComputerOperatingSystemType":"windows","SourceComputerId":"com
puter
kali","ACTOR.ACCOUNT":"VMWare","ACTOR.ENTITY_USER":"VMWare","FROM.DEVICE":"kali","T
O.DEVICE":"DTC-DC01","ACTOR.DEVICE":""}
Le 5 novembre, l’attaquant a tenté un accès sur l’infrastructure de virtualisation de REDACTED1, via le serveur SRVVCENTER :
{
"EventTypeId": "com.vmware.sso.Logout",
"Severity": "info",
"Message": "",
"Arguments": [
{
"Key": "userName",
"Value": "vmware@INTERNAL.REDACTED1.COM"
},
{
"Key": "description",
"Value": "User vmware@INTERNAL.REDACTED1.COM@10.0.11.3
logged out"
},
{
"Key": "userIp",
"Value": "10.0.11.3"
},
{
"Key": "timestamp",
"Value": "11/05/2024 10:41:56 GMT"
},
{
"Key": "_sourcehost_",
"Value": "SrvVcenter.ad.REDACTED2.fr"
}
],
[…]
"Key": 17951603,
"ChainId": 17951603,
"CreatedTime": "\/Date(1730803587564)\/",
"UserName": "vmware@INTERNAL.REDACTED1.COM",
[…]
"FullFormattedMessage": "Logout event by
vmware@INTERNAL.REDACTED1.COM from 10.0.11.3 at 11/05/2024 10:41:56 GMT in
SSO",
"ChangeTag": null
}
L’authentification des comptes est réussie, mais linuxprinter & vmware ne disposaient pas des droits sur la ressource.
Lateral Movement & Collection
Deux phases sont à noter lors de cet incident :
➔ Pivot depuis le VPN sur l’infrastructure REDACTED1
➔ Tentative de latéralisation vers l’infrastructure REDACTED2
Depuis le VPN, les analystes relèvent l’utilisation du protocole RDP (Remote Desktop Procol) sur DTC-DC01 & DTC-FS :
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-TerminalServices-LocalSessionManager"
Guid="{5D896912-022D-40AA-A3A8-4FA5515C76D7}"/>
<EventID>21</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x1000000000000000</Keywords>
<TimeCreated SystemTime="2024-11-06T06:09:58.358095300Z"/>
<EventRecordID>13650</EventRecordID>
<Correlation/>
<Execution ProcessID="772" ThreadID="6560"/>
<Channel>Microsoft-Windows-TerminalServicesLocalSessionManager/Operational</Channel>
<Computer>DTC-FS.internal.REDACTED1.com</Computer>
<Security UserID="S-1-5-18"/>
</System>
<UserData>
<EventXML xmlns:auto-ns3="http://schemas.microsoft.com/win/2004/08/events"
xmlns="Event_NS">
<User>REDACTED1\vmware</User>
<SessionID>2</SessionID>
<Address>10.0.11.4</Address>
</EventXML>
</UserData>
</Event>
L’eventID 21 nous indique l’ouverture d’une session RDP sur la machine cible.
Lors des connexions interactives, Notepad et l’outil de capture d’écran Windows sont utilisés afin de récupérer des informations sur l’environnement cible. Sur le périmètre REDACTED2, l’attaquant a tenté un password spray afin d’identifier les serveurs ou poste de travail où les comptes compromis dans le domaine REDACTED1 pouvaient être utilisés. Le compte svc_varonis a été utilisé suite à cela par l’attaquant sur le serveur SRVFILES.
Les actions sur le périmètre REDACTED2 ont été détectées par SentinelOne et la collecte des journaux Active Directory sur le SOC.
Credential Access & Discovery
L’acteur malveillant a entrepris une phase de reconnaissance du domaine Active Directory, comme l’atteste la commande powershell exécutée avec le compte vmware sur DTC-DC01 :
Get-ADComputer -Filter * -Property * | Select-Object Enabled, Name, DNSHostName,
IPv4Address, OperatingSystem, Description, CanonicalName, servicePrincipalName,
LastLogonDate, whenChanged, whenCreated | export-csv -path
C:\ProgramData\AdComputers.csv
Le fichier AdComputer.csv contient la liste des ordinateurs présents dans l’annuaire Active Directory de REDACTED1. Il semble que l’acteur malveillant disposait d’informations préalablement à son attaque, notamment au travers du fait que les comptes linuxprinter & vmware, tout les deux étant privilégiés, ont été utilisés directement, dès le 5 novembre.
Cependant, les champs de description des objets dans l’Active Directory comportent des mots de passe, ce qui n’est pas une bonne pratique
L’utilisation des outils Netscan & Advanced IP Scanner permettent de découvrir le réseau et de valider les accès sur le parc :
<13>Nov 06 08:47:04 SRVDC11 AgentDevice=WindowsLog AgentLogFile=Security
PluginVersion=7.3.1.28 Source=Microsoft-Windows-Security-Auditing
Computer=SrvDC11.ad.REDACTED2.fr OriginatingComputer=192.9.101.15 User= Domain=
EventID=5145 EventIDCode=5145 EventType=8 EventCategory=12811
RecordNumber=1930282261 TimeGenerated=1730879222 TimeWritten=1730879222 Level=Log
Always Keywords=Audit Success Task=SEADTOBJECTACCESSDETAILEDFILESHARE Opcode=Info
Message=A network share object was checked to see whether client can be granted
desired access. Subject: Security ID: REDACTED2\svcvaronis Account Name: svc_varonis
Account Domain: REDACTED2 Logon ID: 0x33633592 Network Information: Object Type: File
Source Address: 10.0.11.4 Source Port: 60284 Share Information: Share Name:
\*\Users Share Path: \??\C:\Users Relative Target Name: delete.me Access Request
Information: Access Mask: 0x2 Accesses: WriteData (or AddFile) Access Check
Results: WriteData (or AddFile): Granted by D:(A;OICI;FA;;;WD)
La création du fichier delete.me dans le C:\Users est une vérification des droits d’accès avec l’outil netscan.
Comme montré plus haut, l’acteur malveillant a procédé à un dump de mémoire du processus LSASS, permettant ainsi d’obtenir les hash des utilisateurs du domaine REDACTED1, et notamment du compte svc_varonis, dont nous observons son utilisation peu après.
Sur SRVFiles, c’est un dump de de la base de registre SAM qui a été réalisée par l’attaquant et détectée par l’EDR SentinelOne
Suite à cette action, il n’a pas été observé d’autres activités de ce type. Le déploiement de LAPS sur le domaine REDACTED2 a permis de maitriser l’impact de l’activité et réduire le risque d’une latéralisation réussie par l’attaquant.
Defense Evasion
Sur le serveur DTC-DC01, l’acteur a mis en place une exclusion à la racine du disque C:\ à 06h19, avant le dépôt de netscan & Advanced IP Scanner. Il n’a pas été observé d’autres actions d’évasion par l’attaquant.
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Windows Defender" Guid="{11CD958A-C507-4EF3-
B3F2-5FD9DFBD2C78}"/>
<EventID>5007</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2024-11-06T06:19:18.889544100Z"/>
<EventRecordID>43412</EventRecordID>
<Correlation/>
<Execution ProcessID="19720" ThreadID="23656"/>
<Channel>Microsoft-Windows-Windows Defender/Operational</Channel>
<Computer>DTC-DC01.internal.REDACTED1.com</Computer>
<Security UserID="S-1-5-18"/>
</System>
<EventData>
<Data Name="Product Name">Microsoft Defender Antivirus</Data>
<Data Name="Product Version">4.18.24090.11</Data>
<Data Name="Old Value"/>
<Data Name="New Value">HKLM\SOFTWARE\Microsoft\Windows
Defender\Exclusions\Paths\C:\ = 0x0</Data>
</EventData>
</Event>
Cyber Threat Intelligence
Tactics, Techniques & Procedures – Mitre Att&ck
| Tactique | Technique | ID | Usage |
| Initial Access | External Remote Services | T1133 | Utilisation d’un accès VPN |
| Initial Access | Valid Accounts | T1078 | Utilisation d’un compte valide |
| Initial Access | Exploit Public-Facing Application | T1190 | Potentielle exploitation de SonicWall |
| Execution | Command and Scripting Interpreter: Windows Command Shell | T1059.003 | Utilisation de l’invite de commande Windows |
| Persistence | External Remote Services | T1133 | Utilisation d’un accès VPN |
| Privilege Escalation | Valid Accounts: Domain Accounts | T1078.002 | Utilisation de compte de domaine |
| Defense Evasion | Impair Defenses: Disable or Modify Tools | T1562.001 | Création d’une exclusion dans Windows Defender |
| Credential Access | OS Credential Dumping: LSASS Memory | T1003.001 | Dump de la mémoire de LSASS |
| Discovery | System Networks Connections Discovery | T1049 | Scans de découverte réseau |
| Lateral Movement | Remote Services: Remote Desktop Protocol | T1021.001 | Connexion via RDP sur des machines |
| Lateral Movement | Remote Services: SMB/Windows Admin Shares | T1021.002 | Connexion via SMB sur des machines |
| Collection | Screen Capture | T1113 | Reconnaissance et collecte d’informations |
| Collection | Data from Network Shared Drive | T1039 | Reconnaissance et collecte d’informations |
Indicateurs de compromission
| Value | Type | Description |
| Kali | hostname | |
| DESKTOP-EEKR377 | hostname | |
| DESKTOP-7MLGUB7 | hostname | |
| D0C1662CE239E4D288048C0E3324EC52962F6DDDA77DA0CB7AF9C1D9C2F1E2EB | sha256 | Advanced_Port_Scanner _2.5.3869.exe |
| 8b9c7d2554fe315199fae656448dc193ac cbec162d4afff3f204ce2346507a8a | sha256 | Avanced_port_scanner.exe |
| a8a7fdbbc688029c0d97bf836da9ece9 26a85e78986d0e1ebd9b3467b3a72258 | sha256 | netscan.exe in c:\programData\Progra mData\netscan - Copy\netscan\netscan.exe |
| A5586F9C6FC5AF5E955C7CEAD5CC30F 2EF3C6A931DC1C3A00A9A8E4D344429BA | sha256 | netscan.xml |
| bfa8763b628449b2601c11f959cc352d500f67ea | sha1 | .1rar |
Conclusion
Cette investigation met en lumière une attaque opportuniste dont le point de départ fut la compromission totale d’un domaine Active Directory, suivie d’une tentative de latéralisation vers un second environnement.
L’attaquant, après s’être introduit via un accès VPN et avoir obtenu des privilèges administrateur, a exploité un lien de trust pour étendre sa présence. Bien que les traces disponibles ne révèlent ni exfiltration de données ni persistance avérée, elles soulignent des lacunes critiques : absence de journalisation réseau, rétention insuffisante des logs, et pratiques de sécurité perfectibles, notamment sur la gestion des identités et des accès
L’enquête n’a pas permis d’identifier avec certitude le vecteur d’entrée initial — qu’il s’agisse d’une vulnérabilité sur un équipement périmétrique ou de l’utilisation d’identifiants compromis — ni de déterminer précisément les mouvements de l’attaquant entre le 5 et le 6 novembre, en raison de l’absence de journaux réseau. Ces limites rappellent l’importance d’une collecte exhaustive et d’une conservation adaptée des logs pour une réponse sur incident efficace.
Si la réactivité des équipes a permis de contenir rapidement la menace et d’éviter tout impact majeur, cet incident doit servir de catalyseur pour renforcer la posture de sécurité globale. Le durcissement des infrastructures, l’application systématique du MFA, et une surveillance accrue des accès et des mouvements latéraux s’imposent comme des priorités absolues.
Enfin, cette attaque opportuniste confirme une fois de plus qu’un seul maillon faible — un compte mal sécurisé, une vulnérabilité non corrigée — peut suffire à compromettre l’ensemble d’un écosystème IT. La vigilance, la segmentation des réseaux et l’hygiène des comptes restent les meilleurs remparts contre ce type de menace.
