Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-collectivites
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware-dsi
Livre Blanc hôpitaux : 10 conseils empiriques pour récupérer ses données suit...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-hopitaux
Toutes les entreprises connectées à internet sont vulnérables aux
cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.
Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…
Une plaquette commerciale des services actuellement proposés par Mon Cloud. Inventaire, ticketing, supervision, sauvegarde, sécurisation de la messagerie, sensibilisation à la cybersécurité et au RGPD, serveurs à la demande...
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware-dsi
Livre Blanc hôpitaux : 10 conseils empiriques pour récupérer ses données suit...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-hopitaux
Toutes les entreprises connectées à internet sont vulnérables aux
cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.
Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…
Une plaquette commerciale des services actuellement proposés par Mon Cloud. Inventaire, ticketing, supervision, sauvegarde, sécurisation de la messagerie, sensibilisation à la cybersécurité et au RGPD, serveurs à la demande...
Les solutions de Breach and Attack Simultation (BAS) ont commencé à se développer en Europe et en France au cours de l’année 2022.
Elles apportent une nouvelle dimension au combat cyber : celle de la mesure de l’efficacité réelle de la détection et de la réaction. Les CISO’s ne veulent plus se contenter des promesses des éditeurs de solutions cyber (xDR, DLP, IP/DS, PXY,...), ou des fournisseurs de services (SOC, NOC, MSSP,...).
Ils expriment le besoin d’une maîtrise renforcée de leurs moyens de SecOps en lien avec l’évolution de la nature des attaques cyber et la perte de contrôle liée à la cloudification.
Ce besoin repose sur deux axes : Humain et Technologique.
Les résultats de l’étude reposent sur 85 campagnes de simulation réalisées sur 11 pays en 2022."
Etant donné le tumultueux cyber-environnement dans lequel nous vivons aujourd’hui, les organisations deviennent de plus en plus conscientes de l’importance de la protection des endpoints liés au réseau.
Webinar : comment lutter contre les ransomwaresKiwi Backup
Ce webinar s’adresse à tous à tous ceux qui sont sensibilisés à l’importance de leurs données : chef d’entreprises, indépendants, hébergeurs, VAR, DSI et responsables informatiques, associations, collectivités,…
Ce guide de solutions vous donne les clés pour vous protéger des attaques Ransomware : état des lieux, bonnes pratiques, présentations de nos solutions
AGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdfAGILLY
Les attaques de ransomware ont transformé le paysage des cyberattaques. Ces menaces sophistiquées et persistantes peuvent éteindre rapidement les ordinateurs, arrêter les opérations commerciales, déstabiliser les économies etlimiter l'accès aux biens et services en quelques minutes. Les principales cibles des attaques de ransomwares incluent les organisations des secteurs des services financiers, de lasanté, de la technologie, de la fabrication et de la construction, bien que de nombreux attaquants de ransomwares se soient avérés aveugles dans le choix des cibles. Les gangs de cybercriminalité sondent les vulnérabilités au sein d'une organisation, déterminent comment créer le chaos et la perturbation, puis planifient le profit. Certains hackers optent pour une approche "smashn'grab", tandis que d'autres se cachent discrètement dans les systèmes pendant des mois afin de maximiser les niveaux de perturbation et de gain financier. Une attaque de rançongiciel moyenne coûte aux entreprises environ 3,86 millions de dollars. Des cas exceptionnels, comme le ver rançongiciel WannaCry, ont entraîné des dépenses impayées. On estime que WannaCry a causé 4 milliards de dollars de dommages dans lemonde. 2
Alors que le coût total des ransomwares et des rançons continue d'augmenter, les attaques de ransomwares ne doivent pas nécessairement être une dépense commerciale der outine ni être incluses dans le coût d'exploitation d'une entreprise. Avec des niveaux plus élevés de maturité en matière de cybersécurité, les organisations peuvent développer des environnements plus résilients.
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
Qu'elle soit due à une malveillance ou à de l'insouciance, une menace interne visant le patrimoine et les biens de votre entreprise peut faire de gros dégâts. Nous exposons ici différents moyens de la combattre.
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
Qu'elle soit due à une malveillance ou à de l'insouciance, une menace interne visant le patrimoine
et les biens de votre entreprise peut faire de gros dégâts. Nous exposons ici différents moyens de la
combattre.
Avast 10 points clés de la sécurité informatique des pmeAntivirusAvast
Votre société a-t-elle déjà subi une attaque informatique qui a pu entrainer une perte de vos fichiers ? Si oui, c’est que vous n’avez pas encore mis en place une politique de sécurité efficace…
Pourtant avec Avast Endpoint Security quelques minutes suffisent pour mettre en place une solution de sécurité performante qui vous alerte par Email lorsqu’un incident survient. Avast Endpoint Security est un logiciel antivirus qui permet de protéger les PC, les Mac et les serveurs des PME. Avast Endpoint Security inclut aussi des fonctionnalités supplémentaires comme la mise à jour automatique des logiciels de votre PC et bien d’autres fonctionnalités devenues indispensables pour garantir la sécurité de votre réseau informatique.
Déjà plus de 4 millions d’entreprises ont confié leur sécurité à Avast !
Découvrez dans ce livre blanc de F-Secure les raisons d'être correctement protégé et de considérer votre antivirus comme indispensable.
Retrouvez nos solutions de protection F-Secure sur notre site : http://www.nrc.fr/nos-solutions/fsecure-antivirus/
Quand on sait aujourd’hui que 3 entreprises sur 4 ont subi des attaques ou piratages informatiques (verizon) et que 90% étaient équipées d’équipements de sécurité. Reveelium ne serait-il pas là solution, pour prendre une longueur d’avance sur les hackers. Nous plaçons l’intelligence humaine à l’échelle de la machine.
Contenu connexe
Similaire à Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données suite à une cyberattaque par un ransomware
Les solutions de Breach and Attack Simultation (BAS) ont commencé à se développer en Europe et en France au cours de l’année 2022.
Elles apportent une nouvelle dimension au combat cyber : celle de la mesure de l’efficacité réelle de la détection et de la réaction. Les CISO’s ne veulent plus se contenter des promesses des éditeurs de solutions cyber (xDR, DLP, IP/DS, PXY,...), ou des fournisseurs de services (SOC, NOC, MSSP,...).
Ils expriment le besoin d’une maîtrise renforcée de leurs moyens de SecOps en lien avec l’évolution de la nature des attaques cyber et la perte de contrôle liée à la cloudification.
Ce besoin repose sur deux axes : Humain et Technologique.
Les résultats de l’étude reposent sur 85 campagnes de simulation réalisées sur 11 pays en 2022."
Etant donné le tumultueux cyber-environnement dans lequel nous vivons aujourd’hui, les organisations deviennent de plus en plus conscientes de l’importance de la protection des endpoints liés au réseau.
Webinar : comment lutter contre les ransomwaresKiwi Backup
Ce webinar s’adresse à tous à tous ceux qui sont sensibilisés à l’importance de leurs données : chef d’entreprises, indépendants, hébergeurs, VAR, DSI et responsables informatiques, associations, collectivités,…
Ce guide de solutions vous donne les clés pour vous protéger des attaques Ransomware : état des lieux, bonnes pratiques, présentations de nos solutions
AGILLY-CISO-Guide de prévention des ransonwares.fr (1).pdfAGILLY
Les attaques de ransomware ont transformé le paysage des cyberattaques. Ces menaces sophistiquées et persistantes peuvent éteindre rapidement les ordinateurs, arrêter les opérations commerciales, déstabiliser les économies etlimiter l'accès aux biens et services en quelques minutes. Les principales cibles des attaques de ransomwares incluent les organisations des secteurs des services financiers, de lasanté, de la technologie, de la fabrication et de la construction, bien que de nombreux attaquants de ransomwares se soient avérés aveugles dans le choix des cibles. Les gangs de cybercriminalité sondent les vulnérabilités au sein d'une organisation, déterminent comment créer le chaos et la perturbation, puis planifient le profit. Certains hackers optent pour une approche "smashn'grab", tandis que d'autres se cachent discrètement dans les systèmes pendant des mois afin de maximiser les niveaux de perturbation et de gain financier. Une attaque de rançongiciel moyenne coûte aux entreprises environ 3,86 millions de dollars. Des cas exceptionnels, comme le ver rançongiciel WannaCry, ont entraîné des dépenses impayées. On estime que WannaCry a causé 4 milliards de dollars de dommages dans lemonde. 2
Alors que le coût total des ransomwares et des rançons continue d'augmenter, les attaques de ransomwares ne doivent pas nécessairement être une dépense commerciale der outine ni être incluses dans le coût d'exploitation d'une entreprise. Avec des niveaux plus élevés de maturité en matière de cybersécurité, les organisations peuvent développer des environnements plus résilients.
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
Qu'elle soit due à une malveillance ou à de l'insouciance, une menace interne visant le patrimoine et les biens de votre entreprise peut faire de gros dégâts. Nous exposons ici différents moyens de la combattre.
Rapport trimestriel IBM X-Force sur les renseignements relatifs aux menacesAndréanne Clarke
Qu'elle soit due à une malveillance ou à de l'insouciance, une menace interne visant le patrimoine
et les biens de votre entreprise peut faire de gros dégâts. Nous exposons ici différents moyens de la
combattre.
Avast 10 points clés de la sécurité informatique des pmeAntivirusAvast
Votre société a-t-elle déjà subi une attaque informatique qui a pu entrainer une perte de vos fichiers ? Si oui, c’est que vous n’avez pas encore mis en place une politique de sécurité efficace…
Pourtant avec Avast Endpoint Security quelques minutes suffisent pour mettre en place une solution de sécurité performante qui vous alerte par Email lorsqu’un incident survient. Avast Endpoint Security est un logiciel antivirus qui permet de protéger les PC, les Mac et les serveurs des PME. Avast Endpoint Security inclut aussi des fonctionnalités supplémentaires comme la mise à jour automatique des logiciels de votre PC et bien d’autres fonctionnalités devenues indispensables pour garantir la sécurité de votre réseau informatique.
Déjà plus de 4 millions d’entreprises ont confié leur sécurité à Avast !
Découvrez dans ce livre blanc de F-Secure les raisons d'être correctement protégé et de considérer votre antivirus comme indispensable.
Retrouvez nos solutions de protection F-Secure sur notre site : http://www.nrc.fr/nos-solutions/fsecure-antivirus/
Quand on sait aujourd’hui que 3 entreprises sur 4 ont subi des attaques ou piratages informatiques (verizon) et que 90% étaient équipées d’équipements de sécurité. Reveelium ne serait-il pas là solution, pour prendre une longueur d’avance sur les hackers. Nous plaçons l’intelligence humaine à l’échelle de la machine.
Similaire à Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données suite à une cyberattaque par un ransomware (20)
L’analyse comportementale lutte contre les apt @ITrustBlog
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données suite à une cyberattaque par un ransomware
1. 10 conseils empiriques pour
récupérer ses données
suite à une cyberattaque
par ransomware
Quand restaurer ses sauvegardes
n’est pas possible !
2. Sommaire
Les collectivités : cibles privilégiées des rançongiciels ............................................................. P3
4 options pour la reprise d'activité ....................................................................................................... P4
Pourquoi ce guide ? ........................................................................................................................................... P5
10 réflexes à adopter pour préserver ses données
suite à une attaque ransomware :
01 Isoler les postes du réseau ............................................................................................................ P6
02 Déterminer le périmètre de l’infection .................................................................................. P7
03 Réaliser un état des lieux du matériel de stockage .................................................... P8
04 Évaluer les données impactées ................................................................................................. P9
05 Éviter les mauvaises manipulations ....................................................................................... P10
06 Arrêter les serveurs de stockage ............................................................................................. P11
07 Répertorier les systèmes de sauvegardes ..................................................................... P12
08 Vérifier et préserver les sauvegardes ................................................................................. P13
09 Se faire accompagner par des experts externes ...................................................... P14
10 Se faire accompagner par des experts en récupération de données ..... P15
Les 10 commandements ............................................................................................................................ P16
Cas concrets de récupération de données ................................................................................... P17
À propos de Recoveo .......................................................................................................................................P19
P2
3. En 2021, une attaque ransomware
a eu lieu toutes les 11 secondes
source : Idagent
Les collectivités : cibles
privilégiées des rançongiciels
P3
Le paysage informatique de ces dernières années
a été marqué par l’explosion fulgurante d’un nouveau
type d'attaques informatiques de plus en plus
sophistiquées et virulentes :
les ransomwares ou rançongiciels
Les collectivités locales et territoriales ne sont pas
épargnées et sont des cibles de choix pour les hackers.
Annecy, Bondy, La Rochelle, Vincennes, Angers : de la
petite mairie aux plus grandes métropoles, les
attaques de collectivités font la une des actualités
Selon une étude de février 2022, la France a le taux
d’attaques par ransomware le plus élevé au monde :
81 % des entreprises interrogées ont été confrontées
à au moins une infection par rançongiciel.
Un ransomware, comme son nom l'indique,
est un type de logiciel malveillant (malware)
qui infecte votre système et chiffre vos
données dans le but de vous extorquer
une rançon.
+ 300%
C’est l'augmentation des coûts engendrés
par les ransomwares de 2017 à 2021
pour atteindre 20 milliards de $
source : Cybersecurityventures
4. 4 options pour la reprise d’activité
P4
Restaurer depuis
une sauvegarde récente
Dans le cas où les sauvegardes sont
disponibles, suffisamment récentes
et saines, c’est la meilleure option.
Mais ça n’est pas toujours possible !
Reconstruire les données
à partir de zéro
L’impact sur le temps de reprise d’activité
et les coûts engendrés par la reconstitution
des données et les pertes d’exploitation
sont souvent considérables.
Faire appel à un
laboratoire spécialisé
Un laboratoire de récupération de données
peut être en capacité de retrouver
des fichiers à partir de serveurs
ou de sauvegardes attaqués
par un ransomware.
Payer la rançon et
tenter de déchiffrer
L’ANSSI déconseille cette option
qui ne garantit pas la restitution
des données, finance la cybercriminalité
et peut inciter à de nouvelles attaques.
5. P5
Pourquoi ce guide ?
Il existe une pléthore de livres blancs traitant des ransomwares.
Il s’agit majoritairement de conseils préventifs pour s’en prémunir, sécuriser les failles et restaurer
les sauvegardes qui sont publiés par des organismes d’état, les éditeurs d’antivirus et de solutions
de sauvegarde.
Mais que faire dans le cas fréquent où il n’existe pas de sauvegarde exploitable ?
Il peut s’agir de sauvegardes anciennes, incomplètes ou souvent sabotées par les cyberattaquants.
Payer la rançon ou repartir de zéro : quelle alternative ?
Quels sont les bons gestes à adopter pour se laisser des chances de récupérer tout ou partie des
données ?
Ce livre blanc édité par un laboratoire spécialisé en récupération de données
a pour but de donner des conseils concrets et empiriques pour préserver ses
données suite à une attaque ransomware.
Police
Hacker
Expert
forensic
Laboratoire
de récupération
ANSSI
Prestataire
informatique
Assurance
6. Isoler les postes du réseau
P6
01
La majorité des ransomwares scannent le réseau interne ciblé pour se propager et
chiffrer l'ensemble des systèmes connectés.
La première chose à faire lorsqu'un ordinateur est suspecté d'être infecté est de l'isoler des autres
ordinateurs et des périphériques de stockage : postes utilisateurs, serveurs de stockage, sauvegardes.
Déconnectez-le du réseau (câblé et Wi-Fi) et de tout périphérique de stockage externe.
Les vers cryptés recherchent activement les connexions et les autres ordinateurs,
vous voulez donc empêcher que cela se produise. Vous ne voulez pas non plus que le
logiciel rançon communique sur le réseau avec son centre de commande et de contrôle.
Sachez qu'il peut y avoir plus d'un patient zéro, ce qui signifie que le logiciel rançon peut être entré
dans votre entreprise ou votre maison par le biais de plusieurs ordinateurs, ou peut être dormant et
ne pas encore se manifester sur certains systèmes. Traitez avec suspicion tous les ordinateurs connectés
et en réseau et appliquez des mesures pour vous assurer que tous les systèmes ne sont pas infectés.
Les vecteurs d'attaque ransomware les
plus courants sont les fichiers infectés, les
attaques distantes de serveurs mal
sécurisés et le protocole RDP.
source : Sophos
P6
7. 22 jours
C’est le temps d’arrêt occasionné par une
attaque ransomware en 2021.
Ce temps est en augmentation constante.
source : Statista
Déterminer le périmètre de l’infection
P7
02
Le plus souvent, le logiciel de rançon ou groupe de hacker qui l’utilise s'identifie lui-même
lorsqu'il demande une rançon. Dans le cas contraire, il existe de nombreux sites qui vous
aident à identifier les logiciels de rançon, notamment ID Ransomware.
Le site No More Ransom fournit le Crypto Sheriff pour aider à identifier les logiciels de rançon.
L'identification du logiciel de rançon vous aidera à comprendre quel type de ransomware
vous a infecté, comment il se propage, quels types de fichiers il affecte etc.
Si la machine infectée est identifiée, vérifiez quels emplacements réseaux étaient accessibles
à partir de ce poste pour prioriser la vérification des machines ou ressources qui auraient
pu être contaminées.
8. C'est la proportions des organisations françaises qui
ont déclaré avoir été confrontées à au moins une
infection par rançongiciel selon une étude de 2021.
source : Proofpoint
Réaliser un état des lieux du
matériel de stockage
P8
03
Dans le cas où vous constatez que l’infection s’est propagée aux serveurs de stockage,
ou que ceux-ci ont été pris pour cible suite à une intrusion, il convient de répertorier :
• le nombre de serveurs touchés
• les répliques éventuelles
• les systèmes de stockage utilisés : type de RAID, nombre de disques, volumes de stockage
• l’organisation des données : nombre, tailles et formats de partitions, LUNs ou machines virtuelles
Ces informations doivent être les plus précises et exhaustives possibles pour qu’un prestataire
spécialisé en récupération de données dispose du maximum d’informations techniques sur
l'architecture et puisse proposer une prise en charge optimale.
81%
9. D’après l’assurance Allianz,
les incidents cyber représentent le risque n°1
pour les sociétés à l'échelle internationale
en 2022.
source : Allianz Global Corporate & Speciality
Évaluer les données impactées
P9
04
S’il s’avère que les systèmes de stockage sont infectés et que les données ont été chiffrées,
il convient d’énumérer et d’évaluer les données perdues :
• typologies de fichiers : bases de données, fichiers bureautique, machines virtuelles, PAO/DAO etc.
• criticité des données : fichiers les plus importants à récupérer en priorité
• services et utilisateurs les plus impactés par la perte des données
• emplacement de stockage et volumétrie par type de donnée
Cette cartographie des informations perdues et à récupérer est capitale pour prendre
du recul sur l’opérationnel et accélérer la reprise d’activité en priorisant les dossiers. Il n’est
pas recommandé de s’attaquer d’un seul coup à l’ensemble de l’architecture, mais plutôt
d’envisager un retour à la normale en plusieurs paliers : données indispensables à une reprise
d’activité dégradée, puis les données secondaires (nécessaires mais pas indispensables) avant
de terminer par les documents de type archives par exemple.
10. -28%
C’est la baisse du taux de succès moyen
sur des dossiers de récupération pour lesquels
il y a eu des manipulations préalables.
source : Recoveo
Éviter les mauvaises manipulations
P10
05
Afin de ne pas amoindrir les chances de récupérer des données et de ne pas compromettre
les preuves, il est recommandé de ne pas écrire ou effectuer de manipulations sur les serveurs.
D’après notre expérience, les mauvaises manipulations les plus souvent effectuées sont :
• utilisation d’outils de récupération
• reformatage du serveur
• désinfection via des outils antivirus ou antimalware
• effacement de fichiers suspects
• redémarrages successifs du serveur
Ces manipulations semblent instinctives et valables de prime abord, mais sans sécurité (clonage préalable),
elles provoquent souvent des dommages irréparables et compromettent les chances de réussite.
Dans la panique, il est tentant d’essayer tout ce qui est en son pouvoir avant de prendre conseil ou de se
tourner vers une expertise externe.
C’est compréhensible mais c’est aussi un mauvais réflexe qui, dans le cadre complexe des cyberattaques
et ransomwares, provoque plus de dégâts qu’il n’apporte de solution.
pas de clonage préalable
des disques
= risque important de
perte de données
11. Arrêter les serveurs de stockage
P11
06
Une fois les serveurs de stockage identifiés et les données impactées cartographiées,
il convient d’arrêter les systèmes de stockage et ne pas les redémarrer.
Beaucoup de ransomwares détectent les redémarrages et peuvent corrompre les systèmes
d’exploitation ou effacer des fichiers aléatoirement.
De plus, les redémarrages système génèrent des écritures dans le système de fichiers
et l’espace libre qui peuvent écraser des zones utiles et réduire les chances de retrouver
des données.
Dans la mesure du possible, il est préférable de faire un dump de la mémoire pour conserver
des traces à des fins d'investigation forensic :
https://hackernewsdog.com/best-memory-dump-tools-for-forensics
Clonez les supports, sauvegardez la mémoire, et arrêtez toute utilisation des serveurs au plus vite
pour maximiser les chances d’une reprise d’activité rapide.
des entreprises qui choisissent de payer une rançon
pour retrouver l'accès à leurs systèmes chiffrés font
face à une nouvelle attaque par la suite.
source : Cybereason
80%
12. Répertorier les systèmes de sauvegarde
P12
07
Les meilleures chances de récupérer des données dans des cas d’attaques ransomware
viennent souvent des systèmes de sauvegarde qui sont attaqués mais plus rarement chiffrés.
L’intrusion dans le système informatique peut remonter à plusieurs mois mais les hackers
doivent aller très vite lorsqu’ils déclenchent leur attaque et ciblent en priorité les serveurs de stockage.
Face aux volumes importants et à la capacité de calcul plus limitée des systèmes
de sauvegarde, les cybercriminels vont généralement déployer moins d’efforts et tenter
de les saboter :
• réinitialisation de volume NAS
• écrasement de LUN ou cible iSCSI
• effacement de containers de sauvegardes ou machines virtuelles
Sur les 10 derniers dossiers de ransomware
reçus en diagnostic, les sauvegardes étaient
chiffrées dans seulement 10% des cas
(90% de sabotage).
source : Recoveo
Cas récurrent : sauvegardes à chaud de machines virtuelles via le logiciel Veeam sur un NAS
de forte capacité qui est saboté parallèlement au chiffrement du serveur source.
Il convient de répertorier tous les systèmes de sauvegarde existants, récents ou anciens
ou ayant pu contenir des sauvegardes car chacun est susceptible d’avoir été endommagé
différemment et d’avoir un potentiel de récupération différent.
13. Vérifier et préserver les sauvegardes
08
Lorsque des sauvegardes automatiques sont planifiées, la première chose à faire est de stopper
leur déclenchement au risque que de voir les données être écrasées par des fichiers infectés.
Cela ne doit normalement pas arriver si les systèmes de sauvegarde ont été déconnectés du
réseau.
Dans le cas où les sauvegardes sont disponibles, elles doivent être vérifiées avec précaution :
• Ne connectez jamais la sauvegarde à une machine potentiellement infectée,
même pour une simple vérification.
• Ne formatez pas le serveur infecté pour restaurer la sauvegarde par-dessus.
• Utilisez une machine neuve et hors-réseau pour effectuer ces vérifications.
Ces restaurations hâtives peuvent avoir comme conséquence l'endommagement de sauvegardes
saines ou un nouveau chiffrement des serveurs lorsque les sauvegardes sont infectées.
Dans le cas fréquent où les sauvegardes ont été sabotées lors de l’intrusion, il est recommandé
d’arrêter au plus vite le matériel afin d’empêcher toute écriture néfaste générée par le système
d'exploitation et des modifications irrémédiables dans le système de fichiers.
L’expérience montre que le potentiel de récupération des données est bien meilleur
sur des systèmes de sauvegarde qui sont rapidement stoppés.
P13
65%
En moyenne, les organisations qui
payent la rançon restaurent 65% des
fichiers chiffrés.
source : Sophos
14. Se faire accompagner par
des experts externes
P14
09
Lorsque vous ne disposez pas des ressources ni de l’expertise requise pour faire face
à une attaque par rançongiciel, il peut être nécessaire de se faire accompagner par des experts
externes :
• Experts en cybersécurité afin d’identifier puis combler les failles de sécurité et ainsi de protéger votre
infrastructure d’une nouvelle attaque
• Experts dans le domaine du stockage et des solutions de sauvegarde pour réintégrer
et sécuriser les données
• Agence nationale de la sécurité des systèmes d'information (ANSSI)
• Commission nationale de l'informatique et des libertés (CNIL) en cas de violation
de données personnelles
Pour plus d’informations : cybermalveillance.gouv.fr
02/02/2022
Après Axa, Generali décide de ne plus
couvrir le paiement des rançons.
source : BFM Business
15. Se faire accompagner par des experts
en récupération de données
10
Si vos sauvegardes sont défaillantes, faire appel à un laboratoire spécialisé en récupération
de données est une solution qui a fait ses preuves.
Le but n’est pas forcément de décrypter les fichiers infectés, mais de tenter de trouver des données
exploitables à partir des différentes sources de stockage.
Chaque cas d'attaque est différent et nécessite de procéder à un audit des systèmes de stockage :
Serveurs de stockage :
• rechercher des failles dans l’attaque et évaluer si l’ensemble des serveurs ont été chiffrés
• évaluer les possibilités de récupérer des données supprimées ou d’anciennes versions
• rechercher des données sur d'anciens serveurs réinitialisés
Systèmes de sauvegarde (plus rarement chiffrés) :
• déterminer le type de sabotage mis en place : suppression de volume, réinitialisation,
écrasement de volume, effacement de containers de sauvegardes ou machines virtuelles
• évaluer les possibilités de récupérer des données supprimées
• extraire des données de sauvegardes corrompues, sabotées ou en panne
P15
16. Les 10 commandements
Rappel de la liste des 10 réflexes à adopter pour préserver ses données
suite à une attaque ransomware et favoriser une reprise d’activité la plus
rapide possible :
01 Isoler les postes du réseau
02 Déterminer le périmètre de l’infection
03 Réaliser un état des lieux du matériel de stockage
04 Évaluer les données impactées
05 Éviter les mauvaises manipulations.
06 Arrêter les serveurs de stockage
07 Répertorier les systèmes de sauvegardes
08 Vérifier et préserver les sauvegardes
09 Se faire accompagner par des experts externes
10 Se faire accompagner par des experts en récupération de données
Les spécialistes de Recoveo sont à votre écoute n’importe quand et à n’importe
quelle heure via leur cellule d’urgence dédiée 24/7. Ils peuvent ainsi répondre à vos
interrogations et vous orienter vers la meilleure solution en fonction de votre
problématique.
P16
17. Cas concrets de récupération de données
Exemple n° 1 : Communauté de communes de la région Rhône-Alpes
Juillet 2020
P17
Problématique
e€Žƒ|~†€ŽŠ‰‹Š„Ù=‰|~~ÚŽˆ|‡ŽÙ~„ŽÙŠ‘€‹Š‰|‚€‰€‰Ù‡Ù|‘|„‡‹Š
Ž„‰Š„€|‰Ž‡€Ž“ŽÚˆ€„‰Šˆ|„Œ€€~ƒ„€‡€Ž€‘€€ŽŠ~†|‚€‹„‰~„‹|‡‹€‰|‰ ‡|‰„
m€ŽŽ|‘€‚|€Žw€€|ˆŠ‰ÙÙŽ|}ŠÙ€Ž€‰‹||‡‡Ú‡€~ƒ„€ˆ€‰Ž€‘€
e|‰Ž‡| ‹|‰„Œ€‡€etj|„‡„ŽÙ€Ž‡Š‚„~„€‡Ž€Ù~‹Ù|„Š‰de données Ž|‰ŽÙŽ‡|
Matériel
2 NAS QNAP de 12 To Ù‹‡„ŒÙŽŒ„Š‰ÙÙréinitialisés‹|‡€Ž~“}€~„ˆ„‰€‡Ž grâce à un accès
administrateur.
Données perdues
6 machines virtuelles VMWare contenant €Ž baseŽ de données Oracle€trmt€‘€„ŽŽ€Ž
‡Š‚„~„€‡ n|‚‰Ž b€‚€m€‘|‡, le serveur de partage de fichiers }€|„Œ€Ž
„‡„ŽÙŽ‹|‡€Ž|‚€‰Žet le serveur de mailŽ Exchange.
Résultat
sÙ~‹Ù|„Š‰‹||„€€‡|~ƒ„‘€w€€|ˆ~Š‰€‰|‰‡„‰Ù‚|‡„Ù€ŽŽ|‘€‚|€Ž‘|‡„€Ž€Ž
›ˆ|~ƒ„‰€Ž‘„€‡‡€ŽÔ‹|„oct‰M—
mes Ù~„€Ž‚Ù‰ÙÙ€Ž au préalable ‹|‡€Ž‡Š‚„~„€‡Ž€Ù~‹Ù|„Š‰sur le NAS n°1 ‰e
permettent pas d’obtenirde résultat exploitable.
Temps de restitution des données
4 jours
18. Cas concrets de récupération de données
Exemple n° 2 : Mairie de l'Est de la France
Avril 2021
P18
Problématique
Un mot de passe faible a permis à des cyberattaquants de pénétrer dans les NAS de stockage de
la mairie pour saboter les 2 LUN iSCSI.
Matériel
2 NAS Synology de 28To répliqués.
Données perdues
Volume 1 : machines virtuelles contenant les applicatifs métier (notamment les de données Windev
de l'éditeur JVS-Mairistem)
Volume 2 : stockage d'un volume important fichiers divers (bureautiques, image PAO etc.)
Résultat
Récupération d'une sauvegarde fonctionnelle de la base de données stockée sur le volume 1.
Récupération de 21To de fichiers plats triés par date de modification et auteurs pour faciliter la
restitution auprès des utilisateurs.
Temps de restitution des données
7…ŠŽ
19. P19
v
v
v
À propos de Recoveo
Laboratoire expert en récupération de données depuis 2001,Recoveo recense de
nombreux succès suite l'explosion des attaques par ransomware, avec un taux de réussite
approchant les 80%.
Nos clients sont des grand comptes, collectivités locales ou territoriales, PME ou ETI dans
différents secteurs d'activité : santé, industrie, audiovisuel, bâtiment, services informatiques,
etc.
Sur un volume de 33 serveurs réceptionnés en 2021 suite à des cyberattaques :
490uŠ€‘Š‡ˆ€€ŽŠ~†|‚€|„ÙŽ
u|¢€ÙŽŽ„€ˆŠ“€‰€1
eÙ‡|„ˆŠ“€‰„‰Ù„€Ô8…ŠŽ
E‰€‹„Ž€100% française, Recoveo|ŽŽ€‡| confidentialité et la souveraineté
des données|„Ù€Ž|‰Ž Ž€Ž‡|}Š|Š„€Ž
Recoveo a été auditée et labellisée par la société spécialisée en cybersécurité
Ubcom qui récompense 3 atouts majeurs :
• la souveraineté des données
• la méthodologie de travail
• la sécurité renforcée
20. Ce guide a été réalisé par Recoveo, laboratoire expert en récupération
de données depuis 2001.
Suite à de nombreuses demandes d’interventions post cyberattaque, Recoveo a
souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation
de l’environnement dans le cadre d’infection par ransomware.
Pour plus d’informations et de conseils : recoveo.com / raid112.com