Ransomware

analyzing-ransomware-network-indicators aide à analyser `Zeek conn.log` et `NetFlow` pour repérer le beaconing C2, les sorties TOR, l’exfiltration et les DNS suspects dans le cadre d’un audit de sécurité ou d’une réponse à incident.

analyzing-ransomware-payment-wallets est une compétence de blockchain forensics en lecture seule pour retracer les portefeuilles de paiement ransomware, suivre les mouvements de fonds et regrouper les adresses associées pour les audits de sécurité et la réponse aux incidents. Utilisez-la si vous disposez d’une adresse BTC, d’un hash de transaction ou d’un portefeuille suspect et que vous avez besoin d’un appui à l’attribution fondé sur des preuves.

Compétence d’analyse de malware dédiée à l’examen des mécanismes de chiffrement des ransomwares : identification du chiffrement, gestion des clés et faisabilité du déchiffrement. Utilisez-la pour inspecter AES, RSA, ChaCha20, les schémas hybrides et les failles d’implémentation susceptibles de permettre une récupération.

analyzing-ransomware-leak-site-intelligence aide à surveiller les sites de fuite de données liés aux ransomwares, à extraire des signaux sur les victimes et les groupes, et à produire une threat intelligence structurée pour la réponse à incident, l’évaluation du risque sectoriel et le suivi des adversaires.

detecting-ransomware-encryption-behavior aide les défenseurs à repérer un chiffrement de type ransomware grâce à l’analyse de l’entropie, à la surveillance des E/S fichiers et à des heuristiques comportementales. Ce skill convient à la réponse à incident, au réglage d’un SOC et à la validation red team lorsque vous devez détecter rapidement des changements massifs de fichiers, des rafales de renommage et une activité suspecte de processus.

Le skill deploying-ransomware-canary-files aide les équipes sécurité à déployer des fichiers leurres dans des répertoires critiques et à surveiller les événements de lecture, modification, renommage ou suppression pour détecter plus tôt un ransomware. Utilisez-le pour des workflows de Security Audit, une détection légère et des alertes via Slack, email ou syslog, sans remplacer un EDR ni les sauvegardes.

Le skill building-soc-playbook-for-ransomware s’adresse aux équipes SOC qui ont besoin d’un playbook structuré de réponse au ransomware. Il couvre les déclencheurs de détection, le confinement, l’éradication, la reprise et des procédures prêtes pour l’audit, alignées sur NIST SP 800-61 et MITRE ATT&CK. À utiliser pour créer un playbook concret, animer des exercices de simulation et soutenir les audits de sécurité.