IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment une entreprise a survécu à une attaque par ransomware sans payer la moindre rançon
Un cadre raconte les détails de l'attaque dont a été victime son entreprise

Le , par Nancy Rey

31PARTAGES

16  0 
Les rançongiciels sont sans aucun doute l'une des plus grandes cyber-menaces qui touchent aujourd'hui les organisations du monde entier. Les pirates ont changé de tactique et, au lieu de cibler les consommateurs ordinaires, ils courent après l'argent et concentrent leur attention sur les entreprises, où le retour sur investissement est bien plus élevé. Les secteurs les plus fréquemment visés sont les administrations locales, les établissements universitaires, le secteur technologique, les soins de santé, l'industrie manufacturière, les services financiers et les entreprises de médias. Cependant, chaque industrie et chaque entreprise est une cible potentielle et devrait prendre toutes les mesures nécessaires pour prévenir une attaque. Lors de la conférence annuelle de Fujifilm Recording Media USA à la fin du mois dernier, Tony Mendoza a exposé les détails de l'attaque par ransomware dont a été victime son entreprise. Il a également comment celle-ci s’en est sorti sans payer la moindre rançon.


Les premiers signes de l'attaque par ransomware chez le fournisseur de solutions de stockage de données Spectra Logic ont été les rapports d'un certain nombre de membres du personnel informatique faisant état de petits problèmes en début de journée. En très peu de temps, la situation s'est aggravée et les signes d'une violation sont devenus évidents. Les écrans ont alors commencé à afficher une demande de rançon, indiquant que les fichiers avaient été chiffrés par le virus ransomware NetWalker. La demande de rançon était de 3,6 millions de dollars, à payer en bitcoins dans les cinq jours.

Tony Mendoza, directeur principal des solutions commerciales d'entreprise chez Spectra Logic, a exposé les détails de l'attaque lors de la conférence annuelle de Fujifilm Recording Media USA (FRMA) à San Diego à la fin du mois dernier. « Nous avons débranché les systèmes, car le virus se propageait plus vite que nous ne pouvions enquêter. Comme nous n'avions pas mis en place un plan de cybersécurité complet, l'attaque a mis toute l'entreprise à genoux », a déclaré Mendoza aux participants de la conférence.

Un cyber-assureur apporte son aide

L'équipe informatique a passé la journée à évaluer les systèmes pour voir lesquels étaient exempts de virus. La plupart avaient été infectés. Spectra Logic ayant eu la prévoyance de souscrire une cyberassurance, les représentants de Chubb se sont montrés professionnels et serviables, selon Mendoza. Chubb a mis l'entreprise en relation avec Ankura, un spécialiste de la récupération en matière de cybersécurité qui a également formé le FBI à la cybersécurité.

Ankura a immédiatement fourni les services d'un centre d'opérations de sécurité (SOC) afin d'empêcher la propagation du virus, de le protéger contre d'autres dommages et de commencer à le supprimer. L'analyse scientifique de la brèche a permis de tirer une conclusion rapide : une tentative de phishing avait incité un utilisateur disposant d'un accès privilégié à cliquer sur un lien malveillant. « Les gars du SOC ont découvert que le virus était arrivé par l'intermédiaire d'un utilisateur distant, qu'il s'était propagé par le VPN et qu'il avait ensuite commencé à chercher des failles de sécurité », explique Mendoza.

Heureusement, le système de messagerie a échappé au virus. L'équipe a remis ce système en ligne le lendemain matin pour permettre à l'entreprise de commencer des opérations limitées et d'informer les employés de ce qui s'était passé. L'équipe informatique a travaillé toute les nuits pendant plusieurs jours à des mesures correctives intensives.

Les sauvegardes ont été effacées, mais les bandes et les instantanés ont survécu

Comme le compte de sauvegarde avait été compromis et le serveur de sauvegarde effacé, les sauvegardes en ligne étaient inutiles. Une vérification détaillée a révélé qu'aucune donnée n'avait quitté les lieux, bien que les criminels à l'origine du piratage aient volé des mots de passe. Des instructions ont été données pour changer les mots de passe immédiatement. Pendant ce temps, Spectra Logic a pris contact avec le FBI. L'agence a déclaré que le virus lui-même ne pouvait pas être facilement annulé dans les systèmes qui avaient été infectés. À ce stade, c'est devenu une course contre la montre pour voir s'il y avait un moyen de récupérer les systèmes avant l'échéance de la rançon.

Bien que le serveur de sauvegarde ait été inutilisable, l'entreprise avait conservé une copie de toutes ses données sur bande. Ces cartouches de bandes n'ont pas été touchées par le piratage. Celles qui étaient stockées dans les locaux avaient été maintenues hors ligne. D'autres copies de bandes étaient disponibles dans un emplacement hors site. « Le air gap fourni par les cartouches de bande hors ligne nous a donné l'espoir de pouvoir remettre l'entreprise en état de fonctionnement dans un délai raisonnable », a déclaré Mendoza. En sécurité informatique, un air gap, aussi appelé air wall, est une mesure de sécurité consistant à isoler physiquement un système à sécuriser de tout réseau informatique.

Le service informatique s'est mis au travail pour restaurer les données à partir des bandes. Selon les premières estimations, le temps de récupération à partir de la bande était d'environ 30 jours pour la production de niveau 1 et jusqu'à six semaines pour tout le reste ; un délai lent, mais qui a donné à l'entreprise la confiance nécessaire pour ignorer la demande de rançon avec la bénédiction du FBI. Peu après, on a découvert des instantanés sur disque qui étaient immuables et à l'abri du virus. Ces instantanés ont permis une récupération en quelques jours. « Nous avons pu tout restaurer et n'avons rien payé. À part quelques fichiers, toutes les données ont été récupérées », a déclaré Mendoza.

Les leçons apprises

Tony Mendoza conseille aux autres entreprises que les instantanés de disque et les bandes hors site avec un air gap constituent le meilleur moyen de fournir une voie de récupération solide après une attaque. Dans le cas de son organisation, des instantanés immuables en lecture seule basés sur ZFS ont été stockés sur un système NAS de HPE. Les propres systèmes de Spectra Logic ont été utilisés pour le stockage sur bande sur site et hors site.

Le stockage sur bande peut prendre du temps à récupérer, mais étant donné les défaillances de Spectra Logic en matière de sauvegarde, les supports de bande étaient une bonne mesure de sauvegarde supplémentaire à avoir. « Il nous a fallu près d'un mois pour nous remettre complètement et surmonter la douleur causée par le ransomware », a déclaré Mendoza.

Il convient que la protection contre les menaces est la première ligne de défense. Mais une violation est susceptible de se produire un jour ou l'autre. La technologie de protection contre les menaces doit être soutenue par l'immuabilité au niveau des données, grâce à des instantanés et à un espacement entre les bandes, a-t-il ajouté. Cela dit, il souligne que la sécurité ne peut pas prendre le pas sur la productivité. Les deux facteurs doivent être équilibrés. L'entreprise est également favorable à une bonne sensibilisation des utilisateurs à la sécurité, ainsi qu'à une solide assurance contre les ransomwares et la cybersécurité. Peu après l'attaque, l'entreprise a élaboré un plan d'action et de réponse complet ainsi qu'un plan de cybersécurité.

Les attaques par ransomware se produisent avec une fréquence plus élevée que jamais. Selon une étude récente publiée par Arcserve, 50 % des personnes interrogées ont été victimes d'attaques par ransomware au cours de l'année écoulée. Plus d'un tiers (35 %) ont déclaré que leur entreprise avait dû payer plus de 100 000 dollars de rançon, et 20 % entre 1 et 10 millions de dollars. Étant donné le coût élevé des paiements de rançon et des temps d'arrêt, toute entreprise qui dépend de ses données serait bien avisée de mettre en place un plan et des solutions complets.

Source : Spectra Logic

Et vous ?

Quel est votre avis sur le sujet ?
« La sécurité ne peut pas prendre le pas sur la productivité », que pensez-vous de cette assertion ? Partagez-vous cette opinion ?

Voir aussi :

Les attaques par ransomware ont augmenté de 250 % au cours du premier semestre de 2021, les utilisateurs seront confrontés à une attaque toutes les 11 secondes au cours du second semestre

La France, 4ème pays le plus touché au monde en 2021 - le ransomware sera-t-il le virus le plus menaçant en 2022 ? Une étude de Mailinblack

80 % des entreprises ont été victimes d'une attaque par ransomware, alors qu'elles dépensent en moyenne 6 millions de dollars par an pour atténuer les effets de ces attaques, selon CBI

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de totozor
Expert confirmé https://www.developpez.com
Le 18/07/2022 à 12:22
Citation Envoyé par Nancy Rey Voir le message
« La sécurité ne peut pas prendre le pas sur la productivité », que pensez-vous de cette assertion ? Partagez-vous cette opinion ?
La sécurité absolue n'existe pas.
Si la sécurité prime sur tout il n'y a plus de production et l'entreprise coule.
La sécurité est probablement le savant équilibre entre le risque, son cout de prévention et de correction s'il est avéré et le budget disponible.
Pas de production, pas de budget, pas de sécurité.

Après on sait produire sans sécurité jusqu'à l'incident mais l'incident peut couler la boite.
Donc c'est un peu l'histoire du serpent qui se mord la queue.
5  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 18/07/2022 à 12:47
Quel est votre avis sur le sujet ?
La pénurie de compétences en cybersécurité coûte 80% des dommages (source Ziff Davis) qui s'élèvent à 6 000 milliards de dollars pour 2021 (source le figaro.fr). La population en cyberdéfense est vieillissante et près de la moitié des experts vont prendre leur retraite dans les 10 ans à venir. La question va donc devenir plus aiguë avec le temps qui passe et il ne suffit pas d'avoir des compétences techniques encore faut-il être doté d'un bon sens critique pour faire carrière. Donc les bonnes pratiques comme la sauvegarde ou la MFA sont les seuls remparts pour minimiser les conséquences d'une intrusion.

« La sécurité ne peut pas prendre le pas sur la productivité », que pensez-vous de cette assertion ? Partagez-vous cette opinion ?
Les bonnes pratiques peuvent rendre d'immenses services et la sensibilisation des utilisateurs ne sont pas contre-productive. Des audits de sécurité sont loin d'être inutiles également. Une législation durcie à l'encontre des casseurs peut aider aussi.
3  0 
Avatar de patrick72
Membre habitué https://www.developpez.com
Le 19/07/2022 à 10:21
En gros, tu fais régulièrement des snapshots de tes données sur un disque dans un coin, et c'est terminé les ransomware, même si ça pique un peu sur le moment.
Tout le problème, c'est que ta sauvegarde doit être off-ligne : cela implique soit une action humaine de connexion / déconnexion physique, soit l'utilisation d'un robot de sauvegarde (bandes)....
2  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 22/07/2022 à 13:58

En gros, tu fais régulièrement des snapshots de tes données sur un disque dans un coin, et c'est terminé les ransomware, même si ça pique un peu sur le moment.
Non, car les ransonwares cryptent les données, mais en font une copie qui est publié si le paiement n'est pas effectué. Avoir une copie offline limite les dégats mais ne résout pas le prob. de fuite de données.
2  0 
Avatar de Artemus24
Expert éminent sénior https://www.developpez.com
Le 23/07/2022 à 13:04
Salut à tous.

Citation Envoyé par Chrtophe
On a besoin d’Internet pour bosser, même si c'est peu, ne serais-ce que pour les mails.
Je ne suis pas d'accord avec toi. Je pense que tu confonds intranet avec internet.
Tu peux communiquer sur de grande distance en passant par l'intranet de l'entreprise, au travers d'un tunnel, sans jamais avoir accès à l'internet.

Le gros système IBM sur lequel j'ai travaillé, était distant de plusieurs kilomètres. On utilisait l'intranet de l'entreprise.
Citation Envoyé par Chrtophe
mais il faut bien récupérer les pièces jointes des mails;
Nous n'avions pas droit aux pièces jointes, juste du texte. Si tu envoyais une pièce jointe, elle était automatiquement détruite.

Si tu as besoin d'un document particulier, il existe d'autres moyens que la messagerie pour la réceptionner.
Il existe des accès qui sont communs au même groupe de travail.

La configuration du poste de travail était faite par le service technique de l'entreprise.
Il était interdit d'installer quoi que ce soit sans l'accord du service technique.
J'avais accès au gros système ibm par l'application extra et à la documentation de l'entreprise et quelques autres outils et c'est tout.

Citation Envoyé par Chrtophe
... au moins via clé USB, et donc on a toujours un risque d'infecter l'ordi hors Internet via celle-ci sans compter les contraintes
Sur les postes où je travaillais, il était impossible de lire une clef usb.

Je suppose que l'on est plus laxiste qu'autrefois.

Citation Envoyé par Chrtophe
Les antivirus sont de plus en plus efficaces, mais les hackers aussi.
J'ai eu kaspersky sur mon ordinateur personnel et je n'ai eu que des problèmes.
Il me détectait des virus alors qu'il n'y en avait pas sur des programmes que je développais et quand je me suis retrouvé avec un virus dans une mise à jour (ccleaner), il ne l'a même pas détecté.
Depuis, je n'ai que l'antivirus de Microsoft et cela me suffit largement.
De temps en temps, je lance des outils pour voir si je suis infecté mais je n'ai jamais rien eu que je puisse détecter par moi-même.

La principale cause de l'infection d'un ordinateur vient des pièces jointes d'un message venant de l'extérieur à une entreprise. L'autre cause sont les VPN.

Cordialement.
Artemus24.
@+
2  0 
Avatar de petitours
Membre chevronné https://www.developpez.com
Le 30/08/2022 à 8:41
Citation Envoyé par Arya Nawel Voir le message
Ils ont eu de la chance d'avoir une sauvegarde hors site ...
Vu les pratiques de sauvegarde que je vois couramment via le cloud et en tous ça du tout connecté et vu la contrainte que représente le fait d'avoir une sauvegarde déconnectée je pense qu'ils n'ont pas de la chance mais bien le bénéfice de leur prise en compte raisonnable du risque.
2  0 
Avatar de moldavi
Inactif https://www.developpez.com
Le 19/07/2022 à 0:24
Bonjour.

En gros, tu fais régulièrement des snapshots de tes données sur un disque dans un coin, et c'est terminé les ransomware, même si ça pique un peu sur le moment.
1  0 
Avatar de moldavi
Inactif https://www.developpez.com
Le 20/07/2022 à 22:53
Bonjour.

Citation Envoyé par patrick72 Voir le message
Tout le problème, c'est que ta sauvegarde doit être off-ligne : cela implique soit une action humaine de connexion / déconnexion physique, soit l'utilisation d'un robot de sauvegarde (bandes)....
Ce n'est pas un problème, et ce n'est pas irréalisable. C'est juste un choix.
1  0 
Avatar de Greg01
Membre averti https://www.developpez.com
Le 22/07/2022 à 19:52
Par contre le manque de sécurité prend vite le pas sur la productivité.
1  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 23/07/2022 à 8:22
La seule solution fiable (encore que), est d'isoler le système de l'internet.
Euh, oui mais ce n'est concrètement pas faisable, on a besoin d’Internet pour bosser, même si c'est peu, ne serais-ce que pour les mails. On peut toujours avoir 2 postes, 1 avec internet sur lequel arrive la messagerie et sur lequel on navigue et un autre hors Internet, mais il faut bien récupérer les pièces jointes des mails; au moins via clé USB, et donc on a toujours un risque d'infecter l'ordi hors Internet via celle-ci sans compter les contraintes/

Dans le cas d'un VPN, celui-ci peut ne pas donner accès Internet. Mais le poste distant qui ouvre le VPN, si il se fait infecter (risque accru avec un poste perso par exemple, et sur un réseau perso non géré par l'entreprise) a accès d'un coté à Internet avec sa carte réseau, et au réseau de l'entreprise via la carte réseau virtuelle du VPN, donc il y a un risque.


On constate surtout que les antivirus ne sont pas très efficaces.
Sans ce serait pire, et un antivirus ne peut agir que sur un virus qu'il connait, bien que maintenant il ont des fonctions d'analyse comportementales et sont capables via les options de protection antiransonware d’empêcher un logiciel autre que word de modifier un .doc

C'est le "jeu du gendarme et du voleur' et par définition le voleur est devant le gendarme, les virus essayent de contourner les anti-virus en par exemple se greffant sur un processus légitime.
Les antivirus sont de plus en plus efficaces, mais les hackers aussi.
1  0