{
	"id": "2cbf7d54-a9b6-4bbf-b289-f231951ea0d3",
	"created_at": "2026-04-06T01:30:57.612063Z",
	"updated_at": "2026-04-10T03:21:52.667324Z",
	"deleted_at": null,
	"sha1_hash": "471e7d4dbb213d9b17bd3bcd6748a450856c5c68",
	"title": "Peut-on neutraliser un ransomware lancé sur des milliers de machines en même temps ?",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 64217,
	"plain_text": "Peut-on neutraliser un ransomware lancé sur des milliers de\r\nmachines en même temps ?\r\nBy Laurent Oudot\r\nPublished: 2020-07-22 · Archived: 2026-04-06 00:21:16 UTC\r\nComme chacun le sait, les cybercriminels ne se reposent jamais et il y a actuellement une recrudescence\r\nd’attaques par ransomwares dans le monde entier. Les cybercriminels n’ont pas fait de trêve malgré la pandémie\r\nCovid-19, et certains ne semblent pas avoir pris de congés pendant la période estivale en cours.\r\nD’un point de vue renseignement et cyber, il est très intéressant de constater que dans le passé, les mois de juillet-août étaient très chargés en actualités comme en 2003 avec MSBlast, ou au contraire, plutôt calmes : quand les\r\ncybercriminels profitent non pas des plages de ports TCP/UDP, mais des plages sablées, notamment dans certains\r\nlieux bien identifiés…\r\nDans un pays que nous ne citerons pas, il existe une grande infrastructure protégée et surveillée par TEHTRIS à\r\ndistance depuis son SOC en France, et qui a été prise pour cible, avec l’arme très connue nommée SODINOKIBI.\r\nDans cet article, nous allons partager avec vous quelques éléments sur ce sujet.\r\n1. Que se passe-t-il quand un ransomware avec un binaire inconnu, est lancé en mode SYSTEM sur tout ou\r\npartie d’un parc, et que tous les produits traditionnels sont contournés (antivirus local, etc.) ?\r\n2. Hyper Automatisation x Cybersécurité !\r\n3. Bilan final ?\r\n4. Quelle sécurité choisir ?\r\n5. TEHTRIS EDR : sonde et protège les systèmes d’exploitation\r\n6. « Citius, Altius, Fortius »\r\nQue se passe-t-il quand un ransomware avec un binaire inconnu, est lancé en mode\r\nSYSTEM sur tout ou partie d’un parc, et que tous les produits traditionnels sont\r\ncontournés (antivirus local, etc.) ?\r\nEn général, c’est ce que redoutent tous ceux qui ont compris les enjeux liés à la protection des postes de travail.\r\nNous utiliserons ici l’exemple de l’infrastructure surveillée par TEHTRIS, sans nommer le pays cible, ni les\r\nméthodes offensives, pour ne pas déranger les enquêtes en cours.\r\nLorsque le binaire inconnu en question se lance sur des milliers de machines, les agents TEHTRIS EDR présents\r\ndans les systèmes d’exploitation (agents qui intègrent une capacité de suspension de l’exécution via un driver\r\nnoyau) remontent l’information à leur manager EDR.\r\nSi l’on traduit le langage de nos robots pour des humains, cela donne ceci : “Je suis l’agent EDR XXX, et SYSTEM\r\nsouhaite lancer tel logiciel que je ne connais pas, dans tel contexte, et ma politique m’impose de demander\r\nhttps://tehtris.com/fr/peut-on-neutraliser-un-ransomware-lance-en-tant-que-system-sur-des-milliers-de-machines-en-meme-temps/\r\nPage 1 of 4\n\nl’autorisation à mon manager EDR“.\r\nCe dernier regarde immédiatement dans sa base de machine learning, qui correspond à l’activité totale connue et\r\napprise sur le parc depuis les premières secondes d’installation.\r\nLe manager TEHTRIS EDR réalise que lui-même ne connaît pas ce binaire, tombant dans un scénario particulier\r\nqui déclenche un playbook de notre SOAR intégré à la TEHTRIS XDR Platform.\r\nCe playbook existe depuis 2014 chez TEHTRIS : il associe l’agent TEHTRIS EDR à notre CTI (Cyber Threat\r\nIntelligence). Ce playbook est efficace avec une intégration complète à notre EDR et une présence constante dans\r\nnos usages.\r\nNeutraliser un ransomware n’est pas une affaire à prendre à la légère\r\nHyper Automatisation x Cybersécurité !\r\nCe playbook fonctionne efficacement lorsqu’il est évidemment paramétré : en cas de présence d’un binaire\r\ninconnu, les robots TEHTRIS ont alors toute la légitimité pour effectuer des analyses en direct, de façon\r\nautomatique, que des humains n’auraient pas le temps de mener, sans parler des cas où une attaque aurait lieu la\r\nnuit, le week-end, etc. La cyberguerre ne fait pas de pause et les robots TEHTRIS appliquent les politiques\r\nplanifiées et décidées par les humains en avance de phase lors des déploiements.\r\nCes robots, à eux seuls, envoient ainsi le binaire sur des antivirus hébergés par TEHTRIS hors-ligne, ou sur des\r\nbacs à sable par exemple hors-ligne appartenant à TEHTRIS, ou sur notre moteur d’intelligence artificielle qui est\r\nissu de nos recherches en mode Deep Learning. Ce dernier est le premier outil français à avoir été accepté sur\r\nGoogle VirusTotal.\r\nDans notre l’exemple, la partie qui contribue à cette automatisation en mode SOAR, au cœur de la TEHTRIS\r\nXDR Platform, reçoit donc des résultats en très peu de temps, en provenance des capteurs sollicités du côté de la\r\nCTI. Sans appel, le diagnostic tombe, indiquant que le binaire inconnu est identifié comme un ransomware\r\ninconnu, avec une certitude de 100%.\r\nLes responsables et experts en charge de cette grande infrastructure ont eu la sagesse de faire confiance au triplet\r\ngagnant : la TEHTRIS XDR Platform équipée de son SOAR + les agents TEHTRIS EDR + la capacité d’analyse\r\nTEHTRIS CTI. En effet, ils ont paramétré de façon prévisionnelle et résiliente l’autorisation de neutraliser en\r\ndirect, sans humain, le moindre ransomware. En parlant en cyber langage à la James Bond, ce serait comparable\r\nau fameux “permis de tuer”.\r\nBilan final ?\r\nTEHTRIS EDR a neutralisé tout seul, automatiquement une charge de ransomware totalement inconnue, variante\r\nde SODINOKIBI qui avait pu contourner les autres mesures défensives en place (antivirus local).\r\nTrès souvent, dans la presse, nous pouvons lire qu’une entreprise a été détruite en partie : stations, serveurs, etc.\r\nDepuis des mois, TEHTRIS affiche un score de 100% de résilience pour ses clients qui suivent un protocole\r\nhttps://tehtris.com/fr/peut-on-neutraliser-un-ransomware-lance-en-tant-que-system-sur-des-milliers-de-machines-en-meme-temps/\r\nPage 2 of 4\n\ndéfensif strict, y compris face aux menaces inconnues.\r\nQuelle sécurité choisir ?\r\nLes solutions existent, mais il faut réussir à les trouver, ce qui demeure assez compliqué dans un marché où la\r\nscience n’est hélas pas toujours le mode de pensée.\r\nNous pensons qu’il existe actuellement 4 catégories d’infrastructures et de protections, et voici un guide pour\r\nmesurer la catégorie où vous vous situez, et pour choisir celle où vous souhaitez vous positionner :\r\n1) sans EDR, basées uniquement sur des protections traditionnelles type antivirus, antivirus next-gen : la\r\nprobabilité d’être détruit est supérieure à 95% en cas d’attaque inconnue de type sabotage\r\n2) avec des agents EDR essentiellement orientés sur l’expérience utilisateur (belle interface qui plaît beaucoup)\r\net/ou avec une volonté très orientée forensics/analyses post-attaques/enquêtes : la probabilité d’être détruit est\r\nsupérieure à 90% en cas d’attaque inconnue de type sabotage, car ce sont des technologies qui sont très récentes\r\nen ce qui concerne la neutralisation automatique, voire qui ne proposent pas du tout cette option\r\n3) avec des agents EDR efficaces, à savoir, ceux capables de neutraliser des attaques inconnues en direct mais\r\nparfois mal paramétrés, pas assez autonomes ou ayant besoin d’être branchés à un SOAR externe complexifiant\r\nl’efficacité : la probabilité d’être détruit est supérieure à 60% en cas d’attaque inconnue de type sabotage, suivant\r\nles cas\r\n4) avec des agents EDR efficaces et autonomes, à savoir ceux capables de protéger seuls les entreprises en mode\r\nSOAR intégré : la probabilité d’être détruit varie entre 0,xx % et 20% en cas d’attaque inconnue de type sabotage,\r\nsuivant les produits et les paramétrages associés\r\nCette dernière catégorie est simple : il s’agit des EDR rattachés à une XDR Platform, avec du SOAR, de la\r\nCTI, une vocation de faire de l’hyper automatisation, et surtout, un paramétrage parfait qui permet d’indiquer ce\r\nqui doit être éliminé, quand et comment (la fameuse intégration nécessaire). Les experts et CISO avant-gardistes\r\ninternationaux sont passés à ces technologies depuis quelques années.\r\nTEHTRIS EDR : sonde et protège les systèmes d’exploitation\r\nDu côté de TEHTRIS, nous tenons un score complexe d’efficacité maximale, nous plaçant en tête des meilleures\r\nsolutions techniques au niveau opérationnel et mondial, loin des analyses de laboratoire avec 3 exploits et 2 tests\r\nAPT, mais directement en prise avec la cybercriminalité et les espions numériques.\r\nTEHTRIS EDR fait évidemment partie de cette 4ème catégorie, puisque nous avons été dans les premiers agents\r\nau monde ayant ces capacités. Nos early adopters estiment que nous avons créé cette catégorie il y a 6 ans de cela.\r\nNos clients comparent d’ailleurs le côté disruptif de notre EDR à ce que l’automatisation apporte à l’Industrie 4.0\r\navec ses capteurs intelligents, capables d’agir sans intervention humaine.\r\nLorsque TEHTRIS EDR est déployé et paramétré pour neutraliser des tentatives de cyber sabotage, il peut contrer\r\nune attaque d’envergure, même pendant la nuit et continuer de protéger l’infrastructure en complète autonomie.\r\nhttps://tehtris.com/fr/peut-on-neutraliser-un-ransomware-lance-en-tant-que-system-sur-des-milliers-de-machines-en-meme-temps/\r\nPage 3 of 4\n\n« Citius, Altius, Fortius »\r\nDans le cas particulier présenté dans cet article, nous rappelons que SODINOKIBI est un ransomware qui menace\r\nla sécurité de milliers d’entreprises et nous avons la certitude qu’une campagne d’attaques est très certainement en\r\ncours partout dans le monde.\r\nLes experts de TEHTRIS ont donc effectué du reverse engineering sur le binaire, et nous souhaitons partager avec\r\nle plus grand nombre une base d’IoC intéressants, afin que les experts puissent alimenter leurs capteurs et outils.\r\nN’hésitez pas à nous contacter si vous avez des questions particulières au niveau défensif, ou à passer par nos\r\nréseaux de partenaires experts, capables de lutter efficacement contre les nouvelles menaces avec nos\r\ntechnologies.\r\nSource: https://tehtris.com/fr/peut-on-neutraliser-un-ransomware-lance-en-tant-que-system-sur-des-milliers-de-machines-en-meme-temps/\r\nhttps://tehtris.com/fr/peut-on-neutraliser-un-ransomware-lance-en-tant-que-system-sur-des-milliers-de-machines-en-meme-temps/\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://tehtris.com/fr/peut-on-neutraliser-un-ransomware-lance-en-tant-que-system-sur-des-milliers-de-machines-en-meme-temps/"
	],
	"report_names": [
		"peut-on-neutraliser-un-ransomware-lance-en-tant-que-system-sur-des-milliers-de-machines-en-meme-temps"
	],
	"threat_actors": [],
	"ts_created_at": 1775439057,
	"ts_updated_at": 1775791312,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/471e7d4dbb213d9b17bd3bcd6748a450856c5c68.pdf",
		"text": "https://archive.orkl.eu/471e7d4dbb213d9b17bd3bcd6748a450856c5c68.txt",
		"img": "https://archive.orkl.eu/471e7d4dbb213d9b17bd3bcd6748a450856c5c68.jpg"
	}
}