Pour répondre à l’infection de son réseau par un rançongiciel, le meilleur moyen reste de ne pas payer la rançon, et de se contenter de déployer une sauvegarde du système. Mais comme l’a repéré Bleeping Computer, certains malfaiteurs parviennent désormais à également corrompre les sauvegardes. Les opérateurs de DoppelPaymer ont publié l’identifiant et le mot de passe du service de sauvegarde d’une de ses victimes pour lui prouver la véracité de ses menaces. Sans seconde option, le rapport de force entre la victime et le rançonneur s’alourdit à l’avantage du dernier.
Les demandeurs de rançons veulent le plus souvent se faire payer en bitcoin, pour éviter de passer par le système bancaire traditionnel. // Source : Petre Barlea – Pexels
La sauvegarde, meilleure protection face aux rançongiciels
Le rançongiciel consiste à introduire sur un système informatique, grâce au phishing sur-mesure par exemple, un ou plusieurs logiciels malveillants. Ces logiciels vont ensuite se déplacer sur l’ensemble du système et y déposer des logiciels de chiffrement. L’opérateur de l’attaque n’a plus qu’à les activer à distance, le plus souvent après les heures de travail de l’entreprise. Le lendemain, l’organisation constate les dégâts : toutes ses données sont chiffrées, et donc inutilisables. Selon l’entreprise, la paralysie de l’entreprise peut être plus ou moins importante, et plus ou moins longue : emails non fonctionnels, borne de paiements et machines à badge hors services, applications inutilisables… Sans même évoquer la demande de rançon, le rançongiciel aurait donc des conséquences sur les finances de l’entreprise.
Payer ou restaurer
Pour récupérer ces données, et reprendre leur activité, les organisations ont deux options :
La première est de payer la rançon demandée par les malfaiteurs en échange de la clé de déchiffrement. Mais cette option est fortement déconseillée par les experts : la victime s’expose à la surenchère, elle doit compter sur l’honnêteté des hackers et les données qu’elle récupère ont peut-être été corrompues. Et surtout, dans tous les cas, l’organisation a un problème de confiance dans son réseau et doit donc tout nettoyer et renforcer.
Reste alors la deuxième option : redéployer progressivement la dernière sauvegarde du système. Ce processus peut être très lent : les propriétaires du système doivent s’assurer de l’éradication de toute trace des logiciels malveillants sur leur réseau informatique, et consolider la sécurité du système. La majeure partie des grandes entreprises ont des protocoles de sauvegardes automatisées très régulières : la région Grand Est nous expliquait qu’elle a déployé une sauvegarde son système daté de la veille de l’attaque. Mais d’autres organisations n’ont pas ce niveau de précaution, comme cette police locale américaine, qui a perdu six mois de preuves car sa sauvegarde était trop ancienne. En conséquence, elle a dû libérer de prétendus trafiquants de drogue, contre qui elle détenait des vidéos.
Les malfaiteurs peuvent dans certains cas supprimer les sauvegardes
Face à l’absence de paiement de la rançon, les opérateurs de rançongiciels innovent : en 2019, plusieurs d’entre eux ont commencé à publier sur des blogs dédiés une partie des données de leurs victimes. De la même manière qu’un preneur d’otage pourrait envoyer une mèche de cheveux coupée comme menace, ils vont rendre publics quelques mégaoctets de données. Les deux parties savent que si ces données atterrissent entre les mains d’autres acteurs, elles permettraient de créer toutes sortes de cyberattaques, qui se retourneraient vers l’organisation.
En 2020, les opérateurs ont encore amélioré leur protocole d’attaque : ils parviennent désormais à se connecter aux logiciels de sauvegarde de leurs cibles. Dans l’exemple repéré par le Bleeping Computer, les personnes derrière DoppelPaymer ont publié sur leur blog l’identifiant et le mot de passe pour se connecter au compte Veeam d’une de ses victimes. Le rapport de force s’inverse : l’organisation doit choisir entre perdre l’intégralité de ses données ou payer la rançon avec tous les risques que cette action implique. Et les rançonneurs disposent d’un nouveau levier pour alourdir l’addition.
Les sauvegardes cloud mal configurées peuvent coûter cher
Les opérateurs derrière Maze, qui ont récemment attaqué Bouygues Construction, visent les sauvegardes stockées dans le cloud. S’ils en voient une trace lors de leur attaque, ils vont tenter tout un panel de techniques pour en prendre le contrôle. Bleeping Computer est parvenu à avoir leur réaction sur ce nouveau mode opératoire : « Une fois que nous sommes connectés, nous téléchargeons les données. C’est très utile. Pas besoin de chercher des informations sensibles, elles y sont pour sûr dans ces sauvegardes. Si les sauvegardes sont sur le cloud, c’est encore plus facile, il suffit de s’y connecter et de tout télécharger sur nos serveurs, une manoeuvre complètement invisible pour les logiciels de détection des failles de données. »
Que les malfaiteurs volent ou non les données, ils vont supprimer les sauvegardes pour acculer leur victime. « Les sauvegardes dans le cloud sont une très bonne option contre les rançongiciels, mais elle ne donne protègent pas à 100 %, puisqu’elles ne sont pas toujours bien configurées », ajoutent les opérateurs de DoppelPaymer en réponse au Bleeping Computer.
Multiplier les sauvegardes pour avoir un dernier recours
Heureusement, il existe des moyens encore sûrs de se protéger du scénario catastrophe. Il est par exemple possible de créer des sauvegardes immuables, impossibles à supprimer.
Si votre organisation suit les bonnes pratiques, elle a trois sauvegardes régulières du système, dont au moins une hors ligne et immuable et deux autres sur des services différents. En multipliant les copies et les services de stockage, l’organisation réduit les risques d’avoir toutes ses sauvegardes compromises.
Bien sûr, le meilleur moyen de se protéger du rançongiciel est de ne pas se faire contaminer, par exemple en formant ses employés aux risques du phishing, ou en déployant des outils de détection des cyberattaques. Mais dans le cas où le rançongiciel parvient tout de même à infecter le réseau, les sauvegardes peuvent sauver l’activité de l’organisation.
Reste une question : ces bonnes pratiques sont-elles accessibles aux plus petites structures ?
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
