Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware-dsi
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-collectivites
Livre Blanc hôpitaux : 10 conseils empiriques pour récupérer ses données suit...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-hopitaux
Une plaquette commerciale des services actuellement proposés par Mon Cloud. Inventaire, ticketing, supervision, sauvegarde, sécurisation de la messagerie, sensibilisation à la cybersécurité et au RGPD, serveurs à la demande...
Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…
Toutes les entreprises connectées à internet sont vulnérables aux
cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-collectivites
Livre Blanc hôpitaux : 10 conseils empiriques pour récupérer ses données suit...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-hopitaux
Une plaquette commerciale des services actuellement proposés par Mon Cloud. Inventaire, ticketing, supervision, sauvegarde, sécurisation de la messagerie, sensibilisation à la cybersécurité et au RGPD, serveurs à la demande...
Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…
Toutes les entreprises connectées à internet sont vulnérables aux
cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.
Les solutions de Breach and Attack Simultation (BAS) ont commencé à se développer en Europe et en France au cours de l’année 2022.
Elles apportent une nouvelle dimension au combat cyber : celle de la mesure de l’efficacité réelle de la détection et de la réaction. Les CISO’s ne veulent plus se contenter des promesses des éditeurs de solutions cyber (xDR, DLP, IP/DS, PXY,...), ou des fournisseurs de services (SOC, NOC, MSSP,...).
Ils expriment le besoin d’une maîtrise renforcée de leurs moyens de SecOps en lien avec l’évolution de la nature des attaques cyber et la perte de contrôle liée à la cloudification.
Ce besoin repose sur deux axes : Humain et Technologique.
Les résultats de l’étude reposent sur 85 campagnes de simulation réalisées sur 11 pays en 2022."
Webinar : comment lutter contre les ransomwaresKiwi Backup
Ce webinar s’adresse à tous à tous ceux qui sont sensibilisés à l’importance de leurs données : chef d’entreprises, indépendants, hébergeurs, VAR, DSI et responsables informatiques, associations, collectivités,…
Ce guide de solutions vous donne les clés pour vous protéger des attaques Ransomware : état des lieux, bonnes pratiques, présentations de nos solutions
Etant donné le tumultueux cyber-environnement dans lequel nous vivons aujourd’hui, les organisations deviennent de plus en plus conscientes de l’importance de la protection des endpoints liés au réseau.
Découvrez dans ce livre blanc de F-Secure les raisons d'être correctement protégé et de considérer votre antivirus comme indispensable.
Retrouvez nos solutions de protection F-Secure sur notre site : http://www.nrc.fr/nos-solutions/fsecure-antivirus/
Quoi faire si votre ordinateur est déjà infecté par un CryptoLocker? Tout d'abord, ne paniquez pas. La bonne nouvelle est qu'il y a une fenêtre d'opportunité dont vous pouvez profiter et, espérons-le, arrêter la prise d’otage de vos données avant même qu’elle ait commencé.
Avast 10 points clés de la sécurité informatique des pmeAntivirusAvast
Votre société a-t-elle déjà subi une attaque informatique qui a pu entrainer une perte de vos fichiers ? Si oui, c’est que vous n’avez pas encore mis en place une politique de sécurité efficace…
Pourtant avec Avast Endpoint Security quelques minutes suffisent pour mettre en place une solution de sécurité performante qui vous alerte par Email lorsqu’un incident survient. Avast Endpoint Security est un logiciel antivirus qui permet de protéger les PC, les Mac et les serveurs des PME. Avast Endpoint Security inclut aussi des fonctionnalités supplémentaires comme la mise à jour automatique des logiciels de votre PC et bien d’autres fonctionnalités devenues indispensables pour garantir la sécurité de votre réseau informatique.
Déjà plus de 4 millions d’entreprises ont confié leur sécurité à Avast !
Reveelium vise à couvrir le décalage d'intelligence auquel les antivirus sont confrontés et à guérir tous les effets secondaires, ce qui baisse les temps de détection à 1 semaine (par rapport à la moyenne de 12 mois) et réduit les faux positifs de 95%.
AGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdfAGILLY
Les attaques de ransomware ont transformé le paysage des cyberattaques. Ces menaces sophistiquées et persistantes peuvent éteindre rapidement les ordinateurs, arrêter les opérations commerciales, déstabiliser les économies etlimiter l'accès aux biens et services en quelques minutes. Les principales cibles des attaques de ransomwares incluent les organisations des secteurs des services financiers, de lasanté, de la technologie, de la fabrication et de la construction, bien que de nombreux attaquants de ransomwares se soient avérés aveugles dans le choix des cibles. Les gangs de cybercriminalité sondent les vulnérabilités au sein d'une organisation, déterminent comment créer le chaos et la perturbation, puis planifient le profit. Certains hackers optent pour une approche "smashn'grab", tandis que d'autres se cachent discrètement dans les systèmes pendant des mois afin de maximiser les niveaux de perturbation et de gain financier. Une attaque de rançongiciel moyenne coûte aux entreprises environ 3,86 millions de dollars. Des cas exceptionnels, comme le ver rançongiciel WannaCry, ont entraîné des dépenses impayées. On estime que WannaCry a causé 4 milliards de dollars de dommages dans lemonde. 2
Alors que le coût total des ransomwares et des rançons continue d'augmenter, les attaques de ransomwares ne doivent pas nécessairement être une dépense commerciale der outine ni être incluses dans le coût d'exploitation d'une entreprise. Avec des niveaux plus élevés de maturité en matière de cybersécurité, les organisations peuvent développer des environnements plus résilients.
Les solutions de Breach and Attack Simultation (BAS) ont commencé à se développer en Europe et en France au cours de l’année 2022.
Elles apportent une nouvelle dimension au combat cyber : celle de la mesure de l’efficacité réelle de la détection et de la réaction. Les CISO’s ne veulent plus se contenter des promesses des éditeurs de solutions cyber (xDR, DLP, IP/DS, PXY,...), ou des fournisseurs de services (SOC, NOC, MSSP,...).
Ils expriment le besoin d’une maîtrise renforcée de leurs moyens de SecOps en lien avec l’évolution de la nature des attaques cyber et la perte de contrôle liée à la cloudification.
Ce besoin repose sur deux axes : Humain et Technologique.
Les résultats de l’étude reposent sur 85 campagnes de simulation réalisées sur 11 pays en 2022."
Webinar : comment lutter contre les ransomwaresKiwi Backup
Ce webinar s’adresse à tous à tous ceux qui sont sensibilisés à l’importance de leurs données : chef d’entreprises, indépendants, hébergeurs, VAR, DSI et responsables informatiques, associations, collectivités,…
Ce guide de solutions vous donne les clés pour vous protéger des attaques Ransomware : état des lieux, bonnes pratiques, présentations de nos solutions
Etant donné le tumultueux cyber-environnement dans lequel nous vivons aujourd’hui, les organisations deviennent de plus en plus conscientes de l’importance de la protection des endpoints liés au réseau.
Découvrez dans ce livre blanc de F-Secure les raisons d'être correctement protégé et de considérer votre antivirus comme indispensable.
Retrouvez nos solutions de protection F-Secure sur notre site : http://www.nrc.fr/nos-solutions/fsecure-antivirus/
Quoi faire si votre ordinateur est déjà infecté par un CryptoLocker? Tout d'abord, ne paniquez pas. La bonne nouvelle est qu'il y a une fenêtre d'opportunité dont vous pouvez profiter et, espérons-le, arrêter la prise d’otage de vos données avant même qu’elle ait commencé.
Avast 10 points clés de la sécurité informatique des pmeAntivirusAvast
Votre société a-t-elle déjà subi une attaque informatique qui a pu entrainer une perte de vos fichiers ? Si oui, c’est que vous n’avez pas encore mis en place une politique de sécurité efficace…
Pourtant avec Avast Endpoint Security quelques minutes suffisent pour mettre en place une solution de sécurité performante qui vous alerte par Email lorsqu’un incident survient. Avast Endpoint Security est un logiciel antivirus qui permet de protéger les PC, les Mac et les serveurs des PME. Avast Endpoint Security inclut aussi des fonctionnalités supplémentaires comme la mise à jour automatique des logiciels de votre PC et bien d’autres fonctionnalités devenues indispensables pour garantir la sécurité de votre réseau informatique.
Déjà plus de 4 millions d’entreprises ont confié leur sécurité à Avast !
Reveelium vise à couvrir le décalage d'intelligence auquel les antivirus sont confrontés et à guérir tous les effets secondaires, ce qui baisse les temps de détection à 1 semaine (par rapport à la moyenne de 12 mois) et réduit les faux positifs de 95%.
AGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdfAGILLY
Les attaques de ransomware ont transformé le paysage des cyberattaques. Ces menaces sophistiquées et persistantes peuvent éteindre rapidement les ordinateurs, arrêter les opérations commerciales, déstabiliser les économies etlimiter l'accès aux biens et services en quelques minutes. Les principales cibles des attaques de ransomwares incluent les organisations des secteurs des services financiers, de lasanté, de la technologie, de la fabrication et de la construction, bien que de nombreux attaquants de ransomwares se soient avérés aveugles dans le choix des cibles. Les gangs de cybercriminalité sondent les vulnérabilités au sein d'une organisation, déterminent comment créer le chaos et la perturbation, puis planifient le profit. Certains hackers optent pour une approche "smashn'grab", tandis que d'autres se cachent discrètement dans les systèmes pendant des mois afin de maximiser les niveaux de perturbation et de gain financier. Une attaque de rançongiciel moyenne coûte aux entreprises environ 3,86 millions de dollars. Des cas exceptionnels, comme le ver rançongiciel WannaCry, ont entraîné des dépenses impayées. On estime que WannaCry a causé 4 milliards de dollars de dommages dans lemonde. 2
Alors que le coût total des ransomwares et des rançons continue d'augmenter, les attaques de ransomwares ne doivent pas nécessairement être une dépense commerciale der outine ni être incluses dans le coût d'exploitation d'une entreprise. Avec des niveaux plus élevés de maturité en matière de cybersécurité, les organisations peuvent développer des environnements plus résilients.
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à une cyberattaque par un ransomware
1. 10 conseils empiriques pour
récupérer ses données
suite à une cyberattaque
par ransomware
Quand restaurer ses sauvegardes
n’est pas possible !
2. Sommaire
Rançongiciel : un phénomène en pleine explosion .................................................................. P3
4 options pour la reprise d'activité ....................................................................................................... P4
Pourquoi ce guide ? ........................................................................................................................................... P5
10 réflexes à adopter pour préserver ses données
suite à une attaque ransomware :
01 Isoler les postes du réseau ............................................................................................................ P6
02 Déterminer le périmètre de l’infection .................................................................................. P7
03 Réaliser un état des lieux du matériel de stockage .................................................... P8
04 Évaluer les données impactées ................................................................................................. P9
05 Éviter les mauvaises manipulations ....................................................................................... P10
06 Arrêter les serveurs de stockage ............................................................................................. P11
07 Répertorier les systèmes de sauvegardes ..................................................................... P12
08 Vérifier et préserver les sauvegardes ................................................................................. P13
09 Se faire accompagner par des experts externes ...................................................... P14
10 Se faire accompagner par des experts en récupération de données ..... P15
Les 10 commandements ............................................................................................................................ P16
Cas concrets de récupération de données ................................................................................... P17
À propos de Recoveo .......................................................................................................................................P19
P2
3. En 2021, une attaque ransomware
a eu lieu toutes les 11 secondes
source : Idagent
Rançongiciel : un phénomène
en pleine explosion
P3
Le paysage informatique de ces dernières années
a été marqué par l’explosion fulgurante d’un nouveau
type d'attaques informatiques de plus en plus
sophistiquées et virulentes :
les ransomwares ou rançongiciels
De la TPE à la grande entreprise en passant par les
administrations publiques, tout le monde est
susceptible d’être attaqué par des groupes de
cybercriminels aguerris et organisés pour lesquels
c’est devenu un business juteux.
Selon une étude de février 2022, la France a le taux
d’attaques par ransomware le plus élevé au monde :
81 % des entreprises interrogées ont été confrontées
à au moins une infection par rançongiciel.
Un ransomware, comme son nom l'indique,
est un type de logiciel malveillant (malware)
qui infecte votre système et chiffre vos
données dans le but de vous extorquer
une rançon.
+ 300%
C’est l'augmentation des coûts engendrés
par les ransomwares de 2017 à 2021
pour atteindre 20 milliards de $
source : Cybersecurityventures
4. 4 options pour la reprise d’activité
P4
Restaurer depuis
une sauvegarde récente
Dans le cas où les sauvegardes sont
disponibles, suffisamment récentes
et saines, c’est la meilleure option.
Mais ça n’est pas toujours possible !
Reconstruire les données
à partir de zéro
L’impact sur le temps de reprise d’activité
et les coûts engendrés par la reconstitution
des données et les pertes d’exploitation
sont souvent considérables.
Faire appel à un
laboratoire spécialisé
Un laboratoire de récupération de données
peut être en capacité de retrouver
des fichiers à partir de serveurs
ou de sauvegardes attaqués
par un ransomware.
Payer la rançon et
tenter de déchiffrer
L’ANSSI déconseille cette option
qui ne garantit pas la restitution
des données, finance la cybercriminalité
et peut inciter à de nouvelles attaques.
5. P5
Pourquoi ce guide ?
Il existe une pléthore de livres blancs traitant des ransomwares.
Il s’agit majoritairement de conseils préventifs pour s’en prémunir, sécuriser les failles et restaurer
les sauvegardes qui sont publiés par des organismes d’état, les éditeurs d’antivirus et de solutions
de sauvegarde.
Mais que faire dans le cas fréquent où il n’existe pas de sauvegarde exploitable ?
Il peut s’agir de sauvegardes anciennes, incomplètes ou souvent sabotées par les cyberattaquants.
Payer la rançon ou repartir de zéro : quelle alternative ?
Quels sont les bons gestes à adopter pour se laisser des chances de récupérer tout ou partie des
données ?
Ce livre blanc édité par un laboratoire spécialisé en récupération de données
a pour but de donner des conseils concrets et empiriques pour préserver ses
données suite à une attaque ransomware.
Police
Hacker
Expert
forensic
Laboratoire
de récupération
ANSSI
Prestataire
informatique
Assurance
6. Isoler les postes du réseau
P6
01
La majorité des ransomwares scannent le réseau interne ciblé pour se propager et
chiffrer l'ensemble des systèmes connectés.
La première chose à faire lorsqu'un ordinateur est suspecté d'être infecté est de l'isoler des autres
ordinateurs et des périphériques de stockage : postes utilisateurs, serveurs de stockage, sauvegardes.
Déconnectez-le du réseau (câblé et Wi-Fi) et de tout périphérique de stockage externe.
Les vers cryptés recherchent activement les connexions et les autres ordinateurs,
vous voulez donc empêcher que cela se produise. Vous ne voulez pas non plus que le
logiciel rançon communique sur le réseau avec son centre de commande et de contrôle.
Sachez qu'il peut y avoir plus d'un patient zéro, ce qui signifie que le logiciel rançon peut être entré
dans votre entreprise ou votre maison par le biais de plusieurs ordinateurs, ou peut être dormant et
ne pas encore se manifester sur certains systèmes. Traitez avec suspicion tous les ordinateurs connectés
et en réseau et appliquez des mesures pour vous assurer que tous les systèmes ne sont pas infectés.
Les vecteurs d'attaque ransomware les
plus courants sont les fichiers infectés, les
attaques distantes de serveurs mal
sécurisés et le protocole RDP.
source : Sophos
P6
7. 22 jours
C’est le temps d’arrêt occasionné par une
attaque ransomware en 2021.
Ce temps est en augmentation constante.
source : Statista
Déterminer le périmètre de l’infection
P7
02
Le plus souvent, le logiciel de rançon ou groupe de hacker qui l’utilise s'identifie lui-même
lorsqu'il demande une rançon. Dans le cas contraire, il existe de nombreux sites qui vous
aident à identifier les logiciels de rançon, notamment ID Ransomware.
Le site No More Ransom fournit le Crypto Sheriff pour aider à identifier les logiciels de rançon.
L'identification du logiciel de rançon vous aidera à comprendre quel type de ransomware
vous a infecté, comment il se propage, quels types de fichiers il affecte etc.
Si la machine infectée est identifiée, vérifiez quels emplacements réseaux étaient accessibles
à partir de ce poste pour prioriser la vérification des machines ou ressources qui auraient
pu être contaminées.
8. C'est la proportions des organisations françaises qui
ont déclaré avoir été confrontées à au moins une
infection par rançongiciel selon une étude de 2021.
source : Proofpoint
Réaliser un état des lieux du
matériel de stockage
P8
03
Dans le cas où vous constatez que l’infection s’est propagée aux serveurs de stockage,
ou que ceux-ci ont été pris pour cible suite à une intrusion, il convient de répertorier :
• le nombre de serveurs touchés
• les répliques éventuelles
• les systèmes de stockage utilisés : type de RAID, nombre de disques, volumes de stockage
• l’organisation des données : nombre, tailles et formats de partitions, LUNs ou machines virtuelles
Ces informations doivent être les plus précises et exhaustives possibles pour qu’un prestataire
spécialisé en récupération de données dispose du maximum d’informations techniques sur
l'architecture et puisse proposer une prise en charge optimale.
81%
9. D’après l’assurance Allianz,
les incidents cyber représentent le risque n°1
pour les sociétés à l'échelle internationale
en 2022.
source : Allianz Global Corporate & Speciality
Évaluer les données impactées
P9
04
S’il s’avère que les systèmes de stockage sont infectés et que les données ont été chiffrées,
il convient d’énumérer et d’évaluer les données perdues :
• typologies de fichiers : bases de données, fichiers bureautique, machines virtuelles, PAO/DAO etc.
• criticité des données : fichiers les plus importants à récupérer en priorité
• services et utilisateurs les plus impactés par la perte des données
• emplacement de stockage et volumétrie par type de donnée
Cette cartographie des informations perdues et à récupérer est capitale pour prendre
du recul sur l’opérationnel et accélérer la reprise d’activité en priorisant les dossiers. Il n’est
pas recommandé de s’attaquer d’un seul coup à l’ensemble de l’architecture, mais plutôt
d’envisager un retour à la normale en plusieurs paliers : données indispensables à une reprise
d’activité dégradée, puis les données secondaires (nécessaires mais pas indispensables) avant
de terminer par les documents de type archives par exemple.
10. -28%
C’est la baisse du taux de succès moyen
sur des dossiers de récupération pour lesquels
il y a eu des manipulations préalables.
source : Recoveo
Éviter les mauvaises manipulations
P10
05
Afin de ne pas amoindrir les chances de récupérer des données et de ne pas compromettre
les preuves, il est recommandé de ne pas écrire ou effectuer de manipulations sur les serveurs.
D’après notre expérience, les mauvaises manipulations les plus souvent effectuées sont :
• utilisation d’outils de récupération
• reformatage du serveur
• désinfection via des outils antivirus ou antimalware
• effacement de fichiers suspects
• redémarrages successifs du serveur
Ces manipulations semblent instinctives et valables de prime abord, mais sans sécurité (clonage préalable),
elles provoquent souvent des dommages irréparables et compromettent les chances de réussite.
Dans la panique, il est tentant d’essayer tout ce qui est en son pouvoir avant de prendre conseil ou de se
tourner vers une expertise externe.
C’est compréhensible mais c’est aussi un mauvais réflexe qui, dans le cadre complexe des cyberattaques
et ransomwares, provoque plus de dégâts qu’il n’apporte de solution.
pas de clonage préalable
des disques
= risque important de
perte de données
11. Arrêter les serveurs de stockage
P11
06
Une fois les serveurs de stockage identifiés et les données impactées cartographiées,
il convient d’arrêter les systèmes de stockage et ne pas les redémarrer.
Beaucoup de ransomwares détectent les redémarrages et peuvent corrompre les systèmes
d’exploitation ou effacer des fichiers aléatoirement.
De plus, les redémarrages système génèrent des écritures dans le système de fichiers
et l’espace libre qui peuvent écraser des zones utiles et réduire les chances de retrouver
des données.
Dans la mesure du possible, il est préférable de faire un dump de la mémoire pour conserver
des traces à des fins d'investigation forensic :
https://hackernewsdog.com/best-memory-dump-tools-for-forensics
Clonez les supports, sauvegardez la mémoire, et arrêtez toute utilisation des serveurs au plus vite
pour maximiser les chances d’une reprise d’activité rapide.
des entreprises qui choisissent de payer une rançon
pour retrouver l'accès à leurs systèmes chiffrés font
face à une nouvelle attaque par la suite.
source : Cybereason
80%
12. Répertorier les systèmes de sauvegarde
P12
07
Les meilleures chances de récupérer des données dans des cas d’attaques ransomware
viennent souvent des systèmes de sauvegarde qui sont attaqués mais plus rarement chiffrés.
L’intrusion dans le système informatique peut remonter à plusieurs mois mais les hackers
doivent aller très vite lorsqu’ils déclenchent leur attaque et ciblent en priorité les serveurs de stockage.
Face aux volumes importants et à la capacité de calcul plus limitée des systèmes
de sauvegarde, les cybercriminels vont généralement déployer moins d’efforts et tenter
de les saboter :
• réinitialisation de volume NAS
• écrasement de LUN ou cible iSCSI
• effacement de containers de sauvegardes ou machines virtuelles
Sur les 10 derniers dossiers de ransomware
reçus en diagnostic, les sauvegardes étaient
chiffrées dans seulement 10% des cas
(90% de sabotage).
source : Recoveo
Cas récurrent : sauvegardes à chaud de machines virtuelles via le logiciel Veeam sur un NAS
de forte capacité qui est saboté parallèlement au chiffrement du serveur source.
Il convient de répertorier tous les systèmes de sauvegarde existants, récents ou anciens
ou ayant pu contenir des sauvegardes car chacun est susceptible d’avoir été endommagé
différemment et d’avoir un potentiel de récupération différent.
13. Vérifier et préserver les sauvegardes
08
Lorsque des sauvegardes automatiques sont planifiées, la première chose à faire est de stopper
leur déclenchement au risque que de voir les données être écrasées par des fichiers infectés.
Cela ne doit normalement pas arriver si les systèmes de sauvegarde ont été déconnectés du
réseau.
Dans le cas où les sauvegardes sont disponibles, elles doivent être vérifiées avec précaution :
• Ne connectez jamais la sauvegarde à une machine potentiellement infectée,
même pour une simple vérification.
• Ne formatez pas le serveur infecté pour restaurer la sauvegarde par-dessus.
• Utilisez une machine neuve et hors-réseau pour effectuer ces vérifications.
Ces restaurations hâtives peuvent avoir comme conséquence l'endommagement de sauvegardes
saines ou un nouveau chiffrement des serveurs lorsque les sauvegardes sont infectées.
Dans le cas fréquent où les sauvegardes ont été sabotées lors de l’intrusion, il est recommandé
d’arrêter au plus vite le matériel afin d’empêcher toute écriture néfaste générée par le système
d'exploitation et des modifications irrémédiables dans le système de fichiers.
L’expérience montre que le potentiel de récupération des données est bien meilleur
sur des systèmes de sauvegarde qui sont rapidement stoppés.
P13
65%
En moyenne, les organisations qui
payent la rançon restaurent 65% des
fichiers chiffrés.
source : Sophos
14. Se faire accompagner par
des experts externes
P14
09
Lorsque vous ne disposez pas des ressources ni de l’expertise requise pour faire face
à une attaque par rançongiciel, il peut être nécessaire de se faire accompagner par des experts
externes :
• Experts en cybersécurité afin d’identifier puis combler les failles de sécurité et ainsi de protéger votre
infrastructure d’une nouvelle attaque
• Experts dans le domaine du stockage et des solutions de sauvegarde pour réintégrer
et sécuriser les données
• Agence nationale de la sécurité des systèmes d'information (ANSSI)
• Commission nationale de l'informatique et des libertés (CNIL) en cas de violation
de données personnelles
Pour plus d’informations : cybermalveillance.gouv.fr
02/02/2022
Après Axa, Generali décide de ne plus
couvrir le paiement des rançons.
source : BFM Business
15. Se faire accompagner par des experts
en récupération de données
10
Si vos sauvegardes sont défaillantes, faire appel à un laboratoire spécialisé en récupération
de données est une solution qui a fait ses preuves.
Le but n’est pas forcément de décrypter les fichiers infectés, mais de tenter de trouver des données
exploitables à partir des différentes sources de stockage.
Chaque cas d'attaque est différent et nécessite de procéder à un audit des systèmes de stockage :
Serveurs de stockage :
• rechercher des failles dans l’attaque et évaluer si l’ensemble des serveurs ont été chiffrés
• évaluer les possibilités de récupérer des données supprimées ou d’anciennes versions
• rechercher des données sur d'anciens serveurs réinitialisés
Systèmes de sauvegarde (plus rarement chiffrés) :
• déterminer le type de sabotage mis en place : suppression de volume, réinitialisation,
écrasement de volume, effacement de containers de sauvegardes ou machines virtuelles
• évaluer les possibilités de récupérer des données supprimées
• extraire des données de sauvegardes corrompues, sabotées ou en panne
P15
16. Les 10 commandements
Rappel de la liste des 10 réflexes à adopter pour préserver ses données
suite à une attaque ransomware et favoriser une reprise d’activité la plus
rapide possible :
01 Isoler les postes du réseau
02 Déterminer le périmètre de l’infection
03 Réaliser un état des lieux du matériel de stockage
04 Évaluer les données impactées
05 Éviter les mauvaises manipulations.
06 Arrêter les serveurs de stockage
07 Répertorier les systèmes de sauvegardes
08 Vérifier et préserver les sauvegardes
09 Se faire accompagner par des experts externes
10 Se faire accompagner par des experts en récupération de données
Les spécialistes de Recoveo sont à votre écoute n’importe quand et à n’importe
quelle heure via leur cellule d’urgence dédiée 24/7. Ils peuvent ainsi répondre à vos
interrogations et vous orienter vers la meilleure solution en fonction de votre
problématique.
P16
17. Cas concrets de récupération de données
Exemple n° 1 : Groupe industriel de 750 personnes de l'Ouest de la France
Juin 2020
P17
Problématique
Des hackers ont profité d’un accès mal sécurisé ouvert pour un utilisateur en télétravail pour
s'introduire dans le système informatique et chiffrer l’ensemble des serveurs de stockage
pendant la nuit. Les sauvegardes Veeam stockées sur des NAS reliés au réseau ont été
sabotées en parallèle du chiffrement du serveur.
Matériel
4 NAS Synology de 16 To et 24 To dont les volumes sont inaccessibles.
Données perdues
43 machines virtuelles VMWare sauvegardées sous Veeam contenant les données de
l'ensemble des services de la société (production, informatique, comptabilité, marketing,
commerce) : bases de données (Oracles, SQL Server), bureautique (pack office, PDF), emails,
(Exchange), DAO (Solidworks), PAO (suite Adobe), développement etc.
Résultat
Les volumes de stockage des NAS qui ont été endommagés mais non chiffrés sont
reconstitués en totalité.
Récupération des 43 VM fonctionnelles à partir des sauvegardes Veeam.
Temps de restitution des données
6 jours
18. Cas concrets de récupération de données
Exemple n° 2 : PME du Nord de la France
Novembre 2021
P18
Problématique
Ce client spécialisé dans le génie mécanique s’est fait infecter par le ransomware Ranzylocked qui a
chiffré l’ensemble du serveur de production.
Les sauvegardes Veeam stockées sur un NAS ont été effacées avant le chiffrement du serveur.
L’activité est totalement paralysée et les employés sont au chômage technique.
Matériel
Serveur de production Dell de 8 x 1 To (SSD) en RAID 5
NAS de sauvegarde Synology de 3 x 8 To en RAID 5
Données perdues
5 machines virtuelles Hyper-V (dont Exchange, Sage, partage de fichiers, logiciel métier)
Résultat
Des fichiers Veeam sont rapidement retrouvés sur le NAS effacé, mais ils sont endommagés.
Un outil est développé pour parvenir à extraire le contenu des fichiers vbk corrompus.
Les 5 fichiers vhdx sont récupérés et testés en bon état.
Temps de restitution des données
3…ŠŽ
19. P19
v
v
v
À propos de Recoveo
Laboratoire expert en récupération de données depuis 2001,Recoveo recense de
nombreux succès suite l'explosion des attaques par ransomware, avec un taux de réussite
approchant les 80%.
Nos clients sont des grand comptes, collectivités locales ou territoriales, PME ou ETI dans
différents secteurs d'activité : santé, industrie, audiovisuel, bâtiment, services informatiques,
etc.
Sur un volume de 33 serveurs réceptionnés en 2021 suite à des cyberattaques :
490uŠ€‘Š‡ˆ€€ŽŠ~†|‚€|„ÙŽ
u|¢€ÙŽŽ„€ˆŠ“€‰€1
eÙ‡|„ˆŠ“€‰„‰Ù„€Ô8…ŠŽ
E‰€‹„Ž€100% française, Recoveo|ŽŽ€‡| confidentialité et la souveraineté
des données|„Ù€Ž|‰Ž Ž€Ž‡|}Š|Š„€Ž
Recoveo a été auditée et labellisée par la société spécialisée en cybersécurité
Ubcom qui récompense 3 atouts majeurs :
• la souveraineté des données
• la méthodologie de travail
• la sécurité renforcée
20. Ce guide a été réalisé par Recoveo, laboratoire expert en récupération
de données depuis 2001.
Suite à de nombreuses demandes d’interventions post cyberattaque, Recoveo a
souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation
de l’environnement dans le cadre d’infection par ransomware.
Pour plus d’informations et de conseils : recoveo.com / raid112.com