Atempo Le Blog

Les ransomware ciblent désormais aussi vos sauvegardes

Rédigé par Atempo | 20 août 2020 11:28:08

 

Pratiquement aussi vieux que le web, les ransomwares sont vraiment connus des entreprises depuis 2017 avec l’attaque mondiale de Wanna Cry. Depuis cette date, les dégâts que peuvent faire ces logiciels malveillants ne sont plus un secret pour personne. Récemment, c’est une université américaine qui a dû verser plus d’un million de dollars après avoir subi une atteinte de ce type.

Face à la croissance de ces attaques, la plupart des organisations ont saisi l’importance de protéger leurs systèmes d’information avec des gestes simples comme la mise à jour des systèmes d’exploitation, l’installation de pare feu, la sensibilisation des collaborateurs ou encore la mise en place de sauvegardes régulières.

Les attaquants se sont eux aussi adaptés, permettant ainsi aux campagnes de ransomware de continuer à causer de gros dégâts : depuis 6 ans c’est plus de 140 millions de dollars de rançon qui ont été payés par les organisations touchées, et cela n’inclue évidemment pas les coûts de celle qui n’ont pas payé. Analyse d’une épidémie dans le cyber espace...

***

Découverte et propagation des ransomwares

Le patient zéro  

En 1989, Joseph Popp créait le premier ransomware « AIDS Trojan », caché sur plus de 20 000 disquettes distribuées à l’occasion d’une conférence contre le sida. Bien dissimulé, le virus ne s’activait qu’après 90 redémarrages de l’ordinateur sur lequel avait été lancée la disquette. Il se répandait rapidement en chiffrant les fichiers de la victime puis un message s’affichait invitant à régler la somme de 189$ sur une boite postale au Panama pour récupérer ses données.

Il faudra attendre plus de 15 ans avant que l’idée soit reprise, en distribuée cette fois-ci en ligne avec GPcoder qui utilisait un chiffrement asymétrique RSA-124, très solide à l’époque. Pendant plus de 10 ans, les attaques au ransomware ont suivi leur cours, surtout connu des experts de la sécurité informatique et des victimes.

***

La propagation

Dès 2016, les professionnels de la cybersécurité avaient déjà exprimé leurs craintes concernant le risque d’une attaque d’ampleur mondiale avec la circulation du ransomware Petya. La prophétie se réalisa l’année suivante avec le célèbre Wanna Cry(pt). Il a démarré en Espagne le 12 mai 2017 et a infecté près de 250 000 machines en l’espace de quelques jours. Cela reste aujourd’hui une des plus grosses attaques de ransomware de l’histoire.

Ce qui rendit ce malware unique était sa méthode de propagation. Pour la première fois un ransomware ne se rependait pas par le phishing ou autres techniques de social engineering, mais scannant internet à la recherche d’une vulnérabilité qui avait fuité un mois plus tôt et qui concernait des machines tournant encore sur une vieille version de Windows Server. Anecdote intéressante, cette vulnérabilité (qui permit de créer l’exploit EternalBlue) était connue depuis longtemps par la National Security Agency (NSA) qui s’était gardée de la rendre publique pour pouvoir l’utiliser contre ses adversaires.

À peine un mois plus tard, le virus NotPetya fait son entrée, infectant principalement les réseaux d’entreprise grâce à différentes techniques (dont l’exploit EternalBlue). L’attribution de cette attaque reste sujette à débat, car NotPetya présente une singularité : il ne se contente pas de chiffrer les données, mais il les efface purement et simplement ! Pour une partie des experts ce wiper pourrait être à l’origine une cyber arme utilisée par la Russie contre l’Ukraine dans le contexte de tension des dernières années, ce qui expliquerait son extraordinaire complexité.

Quoi qu’il en soit, 2017 a été un séisme au sein de la sécurité informatique et les organisations ont compris à ce moment-là que, quelle que soit leur taille, elles n’étaient pas à l’abri d’une attaque de ce type.

***

Mutations et nouveaux ransomwares

En réaction, les budgets de cybersécurité ont globalement augmenté et les entreprises ont mis en place de mesures pour réduire l’impact des cyberattaques. L’une des mesures les plus efficaces est évidemment la sauvegarde qui permet de préserver la disponibilité des données quand les autres protections ont échouées. En principe, avec une stratégie de sauvegarde efficace, la victime d’un ransomware n’a qu’à restaurer les données sur un système reconfiguré pour relancer l’activité. Les attaquants l’ont bien compris et s’en prennent donc, depuis peu, également aux sauvegardes de leur victimes.

Qu’elles soient sur un serveur NAS ou dans le cloud, des exemples de telles compromissions sont en constante augmentation. Dans une étude récente, Kapesersky qualifiait les entreprises de « non préparée » à ce type d’évènement. Dernièrement, le groupe Doppelpaymers a même lancé un site pour publier des extraits de sauvegardes de leurs victimes afin de prouver le sérieux de leurs demandes de rançon.

Au début, il pouvait y avoir débats autour du fait que les attaquants ne se contentaient pas de chiffrer les données de la victime, mais pouvaient également voler celles qui avaient le plus de valeur. Aujourd’hui les preuves s’accumulent et il est nécessaire pour les organisations de traiter une attaque au ransomware comme une fuite de données également !

Début juin le site Bleeping computer annonçait que le groupe de hackers qui propage le ransomware Revil, avait créé un site à la manière d’eBay, pour vendre aux enchères les données de leurs victimes.

***

Le traitement : des sauvegardes à l'épreuve des logiciels de rançon

Les gestes de base comme la mise à jour système et logiciel, de la formation des collaborateurs à une bonne hygiène informatique et de la mise en place de protections anti-malware fiables constituent une première couche de protection nécessaire mais insuffisante. Quand toutes ces protections échouent, la sauvegarde est essentielle à l’activation d’un plan de reprise d’activité (PRA).

Le problème, c’est que comme nous l’avons vu, les sauvegardes ne sont pas par design protégées contre les ransomware. Alors, comment rendre vos sauvegardes à l’épreuve de ces logiciels ? Une approche sur plusieurs niveaux est indispensable pour les protéger.

***

SAUVEGARDES Locales

Les sauvegardes locales ont l’avantage d’être facilement accessibles en cas de besoin, mais elles sont aussi beaucoup plus vulnérables aux attaques informatiques qui se répandent sur le réseau de l’entreprise.

 

SAUVEGARDES Cloud

 

Le cloud est un support très pratique, mais copier ses fichiers dans le cloud ne constitue pas une sauvegarde efficace, surtout lorsqu’il s’agit de ransomware. Au-delà du problème de la souveraineté de vos données lorsque vous les stockez outre-Atlantique, ces outils (Google, Dropbox …) opèrent souvent une synchronisation automatique des fichiers.

Ce qui signifie que lorsque que vous êtes infectés par un ransomware, les fichiers chiffrés risquent de se retrouver synchronisés de la même façon que les fichiers sains. Il faut donc veiller à choisir une vraie solution de sauvegarde qui ne se contente pas d'une simple copie de fichiers. À noter que plusieurs fournisseurs de sauvegarde cloud proposent désormais une option « time navigation » qui vous permet de récupérer une version précédente de vos fichiers (avant le chiffrement par exemple).

 

SAUVEGARDES Hors site

Bien que plus lentes et moins pratiques, les sauvegardes hors site ont l’avantage d’être aussi beaucoup plus sécurisées. Il peut également être intéressant d’effectuer des sauvegardes avec « air gap » c’est-à-dire des sauvegardes totalement déconnectées d’internet ainsi protégées de tout risque de cyberattaque.

***

Quoi qu’il en soit, le plus important est de favoriser l’utilisation de plusieurs de ces solutions en même temps et de veiller à respecter la sacro-sainte règle du 3-2-1 pour les sauvegardes :

  • Gardez toujours 3 copies de vos données (deux en plus des données principales)
  • Stockez vos sauvegardes sur 2 supports différents.
  • Conservez toujours 1 copie hors site.

Même si les techniques de Deep Learning appliquées à la cybersécurité pourraient faire évoluer la situation, les développeurs de ransomware ont souvent un temps d’avance sur leur victime. En intégrant ce constat, on comprend qu’il est essentiel pour les organisations de mettre en place différentes mesures telles que la sauvegarde des postes de travail sur plusieurs niveaux pour mitiger les risques liés à ces attaques.

***

Pour prolonger la lecture :