La récente attaque de Kaseya (chaîne d'approvisionnement) a été analysée sous différents angles et décrite comme la pire cyber-attaque jamais exécutée en une journée, avec environ 50MSP et environ 1500 de leurs clients finaux touchés.
Mais est-ce si grave ?
Combien de ces clients finaux ont dû payer le rançongiciel demandé ?
D'après cette analyse de Bleeping Computer, apparemment pas beaucoup puisque les attaquants n'ont pas effacé ou chiffré les sauvegardes des entreprises victimes. La plupart d'entre elles ont pu utiliser leurs sauvegardes pour restaurer les données et n'ont pas eu à payer la rançon demandée par les attaquants. En ne prenant pas les sauvegardes en otage, les attaquants ont eu moins d'influence sur les clients.
Qu'est-ce que les premiers secours en cas de ransomware en 3 mots ?
La réponse est simple : sauvegarder, sauvegarder et... sauvegarder.
C'est la réponse simple, mais elle n'est pas complète !
La simple sauvegarde de vos données, que ce soit sur le même ordinateur ou sur un autre ordinateur/dispositif de stockage sur le même réseau, peut ne pas suffire, comme l'ont prouvé des incidents antérieurs un peu plus sophistiqués que l'attaque de Kaseya.
Le vecteur d'attaque le plus courant aujourd'hui comprendra plusieurs étapes en termes d'accès et de verrouillage des sauvegardes dans le cadre d'une attaque par ransomware :
- recherche de sauvegardes par la mise en œuvre de logiciels malveillants de type APT (Advanced Persistent Threat)
- le vol des données importantes stockées et sauvegardées
- le cryptage des données et des sauvegardes en parallèle - parfois même avec des clés différentes
Pour atténuer l'impact et même prévenir des attaques de ransomware aussi sophistiquées, les premiers soins doivent être apportés :
Numériser tous les fichiers qui doivent être stockés
- Utilisation simultanée de plusieurs moteurs anti-programmes malveillants pour des taux de détection plus élevés
- Secure/masquer les informations sensibles et les données financières contenues dans ces fichiers à l'aide de la protection contre la perte de données (DLP).
Assainir les fichiers suspectés de contenir des dangers potentiels - c'est-à-dire des "charges utiles" inconnues telles que des macros dans des fichiers Excel/Word, etc. Ces charges utiles potentiellement dangereuses peuvent être nettoyées à l'aide de Deep CDR (Content Disarm and Reconstruction) pour plus de 100 types de fichiers couramment utilisés.
Stocker et sauvegarder les fichiers dans un autre réseau et/ou dans une solution de stockage en nuage comme AWS, Azure, etc.
Fig : Rôle de MetaDefender Storage Security dans la protection du stockage Cloud
MetaDefender Storage Security permet de récupérer facilement des fichiers du stockage interne ou des fichiers téléchargés depuis une source externe, de les numériser, de les assainir et de les stocker en toute sécurité dans un espace de stockage en nuage pour les jours difficiles.
Conclusion
Oui, le jour de la pluie viendra - lorsque votre organisation sera victime d'une cyberattaque. Ce n'est pas une question de "si" mais de "quand" - vous devez donc être prêt. La défense la plus simple et la plus sûre consiste à préparer (et à mettre à jour régulièrement) une sauvegarde propre de vos données importantes dans un réseau séparé et/ou dans le nuage.
