Les ranongiciels sont sans aucun doute l’une des plus grandes cyber-menaces qui touchent aujourd’hui les organisations du monde entier. Les pirates ont chang de tactique et, au lieu de cibler les consommateurs ordinaires, ils courent aprs l’argent et concentrent leur attention sur les entreprises, o le retour sur investissement est bien plus lev. Les secteurs les plus frquemment viss sont les administrations locales, les tablissements universitaires, le secteur technologique, les soins de sant, l’industrie manufacturire, les services financiers et les entreprises de mdias. Cependant, chaque industrie et chaque entreprise est une cible potentielle et devrait prendre toutes les mesures ncessaires pour prvenir une attaque. Lors de la confrence annuelle de Fujifilm Recording Media USA la fin du mois dernier, Tony Mendoza a expos les dtails de l’attaque par ransomware dont a t victime son entreprise. Il a galement comment celle-ci sen est sorti sans payer la moindre ranon.
Les premiers signes de l’attaque par ransomware chez le fournisseur de solutions de stockage de donnes Spectra Logic ont t les rapports d’un certain nombre de membres du personnel informatique faisant tat de petits problmes en dbut de journe. En trs peu de temps, la situation s’est aggrave et les signes d’une violation sont devenus vidents. Les crans ont alors commenc afficher une demande de ranon, indiquant que les fichiers avaient t chiffrs par le virus ransomware NetWalker. La demande de ranon tait de 3,6 millions de dollars, payer en bitcoins dans les cinq jours.
Tony Mendoza, directeur principal des solutions commerciales d’entreprise chez Spectra Logic, a expos les dtails de l’attaque lors de la confrence annuelle de Fujifilm Recording Media USA (FRMA) San Diego la fin du mois dernier. Nous avons dbranch les systmes, car le virus se propageait plus vite que nous ne pouvions enquter. Comme nous n’avions pas mis en place un plan de cyberscurit complet, l’attaque a mis toute l’entreprise genoux , a dclar Mendoza aux participants de la confrence.
Un cyber-assureur apporte son aide
L’quipe informatique a pass la journe valuer les systmes pour voir lesquels taient exempts de virus. La plupart avaient t infects. Spectra Logic ayant eu la prvoyance de souscrire une cyberassurance, les reprsentants de Chubb se sont montrs professionnels et serviables, selon Mendoza. Chubb a mis l’entreprise en relation avec Ankura, un spcialiste de la rcupration en matire de cyberscurit qui a galement form le FBI la cyberscurit.
Ankura a immdiatement fourni les services d’un centre d’oprations de scurit (SOC) afin d’empcher la propagation du virus, de le protger contre d’autres dommages et de commencer le supprimer. L’analyse scientifique de la brche a permis de tirer une conclusion rapide : une tentative de phishing avait incit un utilisateur disposant d’un accs privilgi cliquer sur un lien malveillant. Les gars du SOC ont dcouvert que le virus tait arriv par l’intermdiaire d’un utilisateur distant, qu’il s’tait propag par le VPN et qu’il avait ensuite commenc chercher des failles de scurit , explique Mendoza.
Heureusement, le systme de messagerie a chapp au virus. L’quipe a remis ce systme en ligne le lendemain matin pour permettre l’entreprise de commencer des oprations limites et d’informer les employs de ce qui s’tait pass. L’quipe informatique a travaill toute les nuits pendant plusieurs jours des mesures correctives intensives.
Les sauvegardes ont t effaces, mais les bandes et les instantans ont survcu
Comme le compte de sauvegarde avait t compromis et le serveur de sauvegarde effac, les sauvegardes en ligne taient inutiles. Une vrification dtaille a rvl qu’aucune donne n’avait quitt les lieux, bien que les criminels l’origine du piratage aient vol des mots de passe. Des instructions ont t donnes pour changer les mots de passe immdiatement. Pendant ce temps, Spectra Logic a pris contact avec le FBI. L’agence a dclar que le virus lui-mme ne pouvait pas tre facilement annul dans les systmes qui avaient t infects. ce stade, c’est devenu une course contre la montre pour voir s’il y avait un moyen de rcuprer les systmes avant l’chance de la ranon.
Bien que le serveur de sauvegarde ait t inutilisable, l’entreprise avait conserv une copie de toutes ses donnes sur bande. Ces cartouches de bandes n’ont pas t touches par le piratage. Celles qui taient stockes dans les locaux avaient t maintenues hors ligne. D’autres copies de bandes taient disponibles dans un emplacement hors site. Le air gap fourni par les cartouches de bande hors ligne nous a donn l’espoir de pouvoir remettre l’entreprise en tat de fonctionnement dans un dlai raisonnable , a dclar Mendoza. En scurit informatique, un air gap, aussi appel air wall, est une mesure de scurit consistant isoler physiquement un systme scuriser de tout rseau informatique.
Le service informatique s’est mis au travail pour restaurer les donnes partir des bandes. Selon les premires estimations, le temps de rcupration partir de la bande tait d’environ 30 jours pour la production de niveau 1 et jusqu’ six semaines pour tout le reste ; un dlai lent, mais qui a donn l’entreprise la confiance ncessaire pour ignorer la demande de ranon avec la bndiction du FBI. Peu aprs, on a dcouvert des instantans sur disque qui taient immuables et l’abri du virus. Ces instantans ont permis une rcupration en quelques jours. Nous avons pu tout restaurer et n’avons rien pay. part quelques fichiers, toutes les donnes ont t rcupres , a dclar Mendoza.
Les leons apprises
Tony Mendoza conseille aux autres entreprises que les instantans de disque et les bandes hors site avec un air gap constituent le meilleur moyen de fournir une voie de rcupration solide aprs une attaque. Dans le cas de son organisation, des instantans immuables en lecture seule bass sur ZFS ont t stocks sur un systme NAS de HPE. Les propres systmes de Spectra Logic ont t utiliss pour le stockage sur bande sur site et hors site.
Le stockage sur bande peut prendre du temps rcuprer, mais tant donn les dfaillances de Spectra Logic en matire de sauvegarde, les supports de bande taient une bonne mesure de sauvegarde supplmentaire avoir. Il nous a fallu prs d’un mois pour nous remettre compltement et surmonter la douleur cause par le ransomware , a dclar Mendoza.
Il convient que la protection contre les menaces est la premire ligne de dfense. Mais une violation est susceptible de se produire un jour ou l’autre. La technologie de protection contre les menaces doit tre soutenue par l’immuabilit au niveau des donnes, grce des instantans et un espacement entre les bandes, a-t-il ajout. Cela dit, il souligne que la scurit ne peut pas prendre le pas sur la productivit. Les deux facteurs doivent tre quilibrs. L’entreprise est galement favorable une bonne sensibilisation des utilisateurs la scurit, ainsi qu’ une solide assurance contre les ransomwares et la cyberscurit. Peu aprs l’attaque, l’entreprise a labor un plan d’action et de rponse complet ainsi qu’un plan de cyberscurit.
Les attaques par ransomware se produisent avec une frquence plus leve que jamais. Selon une tude rcente publie par Arcserve, 50 % des personnes interroges ont t victimes d’attaques par ransomware au cours de l’anne coule. Plus d’un tiers (35 %) ont dclar que leur entreprise avait d payer plus de 100 000 dollars de ranon, et 20 % entre 1 et 10 millions de dollars. tant donn le cot lev des paiements de ranon et des temps d’arrt, toute entreprise qui dpend de ses donnes serait bien avise de mettre en place un plan et des solutions complets.
Source : Spectra Logic
Et vous ?
Quel est votre avis sur le sujet ?
La scurit ne peut pas prendre le pas sur la productivit , que pensez-vous de cette assertion ? Partagez-vous cette opinion ?
Voir aussi :
La France, 4me pays le plus touch au monde en 2021 – le ransomware sera-t-il le virus le plus menaant en 2022 ? Une tude de Mailinblack
80 % des entreprises ont t victimes d’une attaque par ransomware, alors qu’elles dpensent en moyenne 6 millions de dollars par an pour attnuer les effets de ces attaques, selon CBI