Les rançongiciels sont sans aucun doute l'une des plus grandes cyber-menaces qui touchent aujourd'hui les organisations du monde entier. Les pirates ont changé de tactique et, au lieu de cibler les consommateurs ordinaires, ils courent après l'argent et concentrent leur attention sur les entreprises, où le retour sur investissement est bien plus élevé. Les secteurs les plus fréquemment visés sont les administrations locales, les établissements universitaires, le secteur technologique, les soins de santé, l'industrie manufacturière, les services financiers et les entreprises de médias. Cependant, chaque industrie et chaque entreprise est une cible potentielle et devrait prendre toutes les mesures nécessaires pour prévenir une attaque. Lors de la conférence annuelle de Fujifilm Recording Media USA à la fin du mois dernier, Tony Mendoza a exposé les détails de l'attaque par ransomware dont a été victime son entreprise. Il a également comment celle-ci s’en est sorti sans payer la moindre rançon.
Les premiers signes de l'attaque par ransomware chez le fournisseur de solutions de stockage de données Spectra Logic ont été les rapports d'un certain nombre de membres du personnel informatique faisant état de petits problèmes en début de journée. En très peu de temps, la situation s'est aggravée et les signes d'une violation sont devenus évidents. Les écrans ont alors commencé à afficher une demande de rançon, indiquant que les fichiers avaient été chiffrés par le virus ransomware NetWalker. La demande de rançon était de 3,6 millions de dollars, à payer en bitcoins dans les cinq jours.
Tony Mendoza, directeur principal des solutions commerciales d'entreprise chez Spectra Logic, a exposé les détails de l'attaque lors de la conférence annuelle de Fujifilm Recording Media USA (FRMA) à San Diego à la fin du mois dernier. « Nous avons débranché les systèmes, car le virus se propageait plus vite que nous ne pouvions enquêter. Comme nous n'avions pas mis en place un plan de cybersécurité complet, l'attaque a mis toute l'entreprise à genoux », a déclaré Mendoza aux participants de la conférence.
Un cyber-assureur apporte son aide
L'équipe informatique a passé la journée à évaluer les systèmes pour voir lesquels étaient exempts de virus. La plupart avaient été infectés. Spectra Logic ayant eu la prévoyance de souscrire une cyberassurance, les représentants de Chubb se sont montrés professionnels et serviables, selon Mendoza. Chubb a mis l'entreprise en relation avec Ankura, un spécialiste de la récupération en matière de cybersécurité qui a également formé le FBI à la cybersécurité.
Ankura a immédiatement fourni les services d'un centre d'opérations de sécurité (SOC) afin d'empêcher la propagation du virus, de le protéger contre d'autres dommages et de commencer à le supprimer. L'analyse scientifique de la brèche a permis de tirer une conclusion rapide : une tentative de phishing avait incité un utilisateur disposant d'un accès privilégié à cliquer sur un lien malveillant. « Les gars du SOC ont découvert que le virus était arrivé par l'intermédiaire d'un utilisateur distant, qu'il s'était propagé par le VPN et qu'il avait ensuite commencé à chercher des failles de sécurité », explique Mendoza.
Heureusement, le système de messagerie a échappé au virus. L'équipe a remis ce système en ligne le lendemain matin pour permettre à l'entreprise de commencer des opérations limitées et d'informer les employés de ce qui s'était passé. L'équipe informatique a travaillé toute les nuits pendant plusieurs jours à des mesures correctives intensives.
Les sauvegardes ont été effacées, mais les bandes et les instantanés ont survécu
Comme le compte de sauvegarde avait été compromis et le serveur de sauvegarde effacé, les sauvegardes en ligne étaient inutiles. Une vérification détaillée a révélé qu'aucune donnée n'avait quitté les lieux, bien que les criminels à l'origine du piratage aient volé des mots de passe. Des instructions ont été données pour changer les mots de passe immédiatement. Pendant ce temps, Spectra Logic a pris contact avec le FBI. L'agence a déclaré que le virus lui-même ne pouvait pas être facilement annulé dans les systèmes qui avaient été infectés. À ce stade, c'est devenu une course contre la montre pour voir s'il y avait un moyen de récupérer les systèmes avant l'échéance de la rançon.
Bien que le serveur de sauvegarde ait été inutilisable, l'entreprise avait conservé une copie de toutes ses données sur bande. Ces cartouches de bandes n'ont pas été touchées par le piratage. Celles qui étaient stockées dans les locaux avaient été maintenues hors ligne. D'autres copies de bandes étaient disponibles dans un emplacement hors site. « Le air gap fourni par les cartouches de bande hors ligne nous a donné l'espoir de pouvoir remettre l'entreprise en état de fonctionnement dans un délai raisonnable », a déclaré Mendoza. En sécurité informatique, un air gap, aussi appelé air wall, est une mesure de sécurité consistant à isoler physiquement un système à sécuriser de tout réseau informatique.
Le service informatique s'est mis au travail pour restaurer les données à partir des bandes. Selon les premières estimations, le temps de récupération à partir de la bande était d'environ 30 jours pour la production de niveau 1 et jusqu'à six semaines pour tout le reste ; un délai lent, mais qui a donné à l'entreprise la confiance nécessaire pour ignorer la demande de rançon avec la bénédiction du FBI. Peu après, on a découvert des instantanés sur disque qui étaient immuables et à l'abri du virus. Ces instantanés ont permis une récupération en quelques jours. « Nous avons pu tout restaurer et n'avons rien payé. À part quelques fichiers, toutes les données ont été récupérées », a déclaré Mendoza.
Les leçons apprises
Tony Mendoza conseille aux autres entreprises que les instantanés de disque et les bandes hors site avec un air gap constituent le meilleur moyen de fournir une voie de récupération solide après une attaque. Dans le cas de son organisation, des instantanés immuables en lecture seule basés sur ZFS ont été stockés sur un système NAS de HPE. Les propres systèmes de Spectra Logic ont été utilisés pour le stockage sur bande sur site et hors site.
Le stockage sur bande peut prendre du temps à récupérer, mais étant donné les défaillances de Spectra Logic en matière de sauvegarde, les supports de bande étaient une bonne mesure de sauvegarde supplémentaire à avoir. « Il nous a fallu près d'un mois pour nous remettre complètement et surmonter la douleur causée par le ransomware », a déclaré Mendoza.
Il convient que la protection contre les menaces est la première ligne de défense. Mais une violation est susceptible de se produire un jour ou l'autre. La technologie de protection contre les menaces doit être soutenue par l'immuabilité au niveau des données, grâce à des instantanés et à un espacement entre les bandes, a-t-il ajouté. Cela dit, il souligne que la sécurité ne peut pas prendre le pas sur la productivité. Les deux facteurs doivent être équilibrés. L'entreprise est également favorable à une bonne sensibilisation des utilisateurs à la sécurité, ainsi qu'à une solide assurance contre les ransomwares et la cybersécurité. Peu après l'attaque, l'entreprise a élaboré un plan d'action et de réponse complet ainsi qu'un plan de cybersécurité.
Les attaques par ransomware se produisent avec une fréquence plus élevée que jamais. Selon une étude récente publiée par Arcserve, 50 % des personnes interrogées ont été victimes d'attaques par ransomware au cours de l'année écoulée. Plus d'un tiers (35 %) ont déclaré que leur entreprise avait dû payer plus de 100 000 dollars de rançon, et 20 % entre 1 et 10 millions de dollars. Étant donné le coût élevé des paiements de rançon et des temps d'arrêt, toute entreprise qui dépend de ses données serait bien avisée de mettre en place un plan et des solutions complets.
Source : Spectra Logic
Et vous ?
Quel est votre avis sur le sujet ?
« La sécurité ne peut pas prendre le pas sur la productivité », que pensez-vous de cette assertion ? Partagez-vous cette opinion ?
Voir aussi :
Les attaques par ransomware ont augmenté de 250 % au cours du premier semestre de 2021, les utilisateurs seront confrontés à une attaque toutes les 11 secondes au cours du second semestre
La France, 4ème pays le plus touché au monde en 2021 - le ransomware sera-t-il le virus le plus menaçant en 2022 ? Une étude de Mailinblack
80 % des entreprises ont été victimes d'une attaque par ransomware, alors qu'elles dépensent en moyenne 6 millions de dollars par an pour atténuer les effets de ces attaques, selon CBI
Comment une entreprise a survécu à une attaque par ransomware sans payer la moindre rançon
Un cadre raconte les détails de l'attaque dont a été victime son entreprise
Comment une entreprise a survécu à une attaque par ransomware sans payer la moindre rançon
Un cadre raconte les détails de l'attaque dont a été victime son entreprise
Le , par Nancy Rey
Une erreur dans cette actualité ? Signalez-nous-la !