Wood Ranch a été victime d'une attaque de rançon au cours de l'été, et ses dossiers médicaux électroniques ont été chiffrés. Wood Ranch n'a pas accepté de payer la rançon, pour découvrir ensuite que ses sauvegardes avaient été également chiffrées par les attaquants. N’étant pas en mesure de récupérer ses données, l'entreprise fermera ses portes et cessera ses activités le 17 décembre 2019.
L'évolution des raçongiciels ressemble fortement au jeu du chat et de la souris.
Une menace croissante
Le document 2019 Cyberthreat Defense Report mentionne le point suivant :
« Les statistiques de l’année dernière sur les rançongiciels étaient préoccupantes. Les statistiques de cette année sont encore plus inquiétantes. Le pourcentage d'organisations victimes de rançongiciels est en hausse, le pourcentage d'organisations payant des rançons est en hausse et le pourcentage de perte de données à la suite du refus de payer des rançons est également en hausse. »
J’avais conclu le blogue intitulé La continuité des affaires à l'ère de l'évolution accélérée des rançongiciels ainsi : Même avec une protection multiniveau et une sensibilisation de vos usagers, vous ne pouvez pas être certain de contrer toutes ces attaques. Il est dès lors vital de mettre en œuvre les mesures importantes de protection des données afin pouvoir récupérer efficacement.
Mais la question demeure : comment s’assurer que les sauvegardes, qui sont la dernière ligne de défense, sont réellement protégées contre les rançongiciels?
L’évolution des rançongiciels
Cette évolution ressemble fortement au jeu du chat et de la souris.
Phase 1
Au tout début des rançongiciels, les malfaiteurs infectaient les ordinateurs et les serveurs avec un virus, qui une fois activé, procédait au chiffrement des données.
Les victimes si elles avaient été assez prévoyantes pour avoir procédé à des copies de sécurité à jour, pouvaient récupérer leurs données sans avoir à payer de rançon.
Phase 2
Voyant qu’ils manquaient ainsi des opportunités de revenus, les criminels ont décidé de chiffrer également les copies de sécurités qu’ils étaient capables d’atteindre.
Les compagnies se sont adaptées en adoptant la règle 3-2-1.
Dans la stratégie de sauvegarde 3-2-1, au lieu de créer une sauvegarde unique des fichiers, 2 copies de sauvegarde sont créées, l’une locale, l’autre distante. La dernière est le plus importante lorsqu'il s'agit de défendre votre entreprise contre les rançongiciels.Pour que cette règle soit efficace dans un contexte d’attaque par des rançongiciels, les sauvegardes, en particulier celles hors site, doivent être stockées de manière qu’elles ne soient pas accessibles aux rançongiciels, faute de quoi les rançongiciels se propageront également aux sauvegardes.
C’est le concept de « Air Gap ». L’idée est simple, si les données ne sont pas accessibles, elles ne peuvent être ni infectées ni corrompues. Il s'agit généralement d'une copie des données sur un stockage secondaire qui est mise hors ligne après que la prise de copie a été complétée.
Pour souligner ce point, Veeam ajoute un «1 » supplémentaire à la règle du 3-2-1, dans laquelle une copie du support de stockage doit être conservée entièrement hors ligne, c’est-à-dire sans connexion directe à Internet, à un réseau, ou à tout autre ordinateur.
En pratique, la communication doit être établie à chaque mise à jour de la prise de copie, mettant ainsi à risque l’intégrité de la copie. Il n'y a donc aucune garantie que la copie « Air Gap » ne puisse pas être corrompue pendant le processus de copie.
Phase 3 : la situation actuelle
Les entreprises font face aujourd’hui aux limites de la règle 3-2-1-1 et sont confrontées aux questions suivantes :
1. Que se passe-t-il si le rançongiciel n'est pas détecté avant la mise à jour de la copie?
2. Que se passe-t-il si la mise à jour planifiée se produit après une infection par un rançongiciel, mais avant la détection?
3. Que se passe-t-il si le rançongiciel est en veille (dormant), et que vos 2 copies de sauvegarde contiennent maintenant un malware prêt à s’activer? Cette situation a été qualifiée de « Attack Loop » par la compagnie Asigra.
Les Rançongiciels peuvent détruire les sauvegardes de plusieurs façons
Chiffrer les partages réseau accessibles
Les Rançongiciels sont en mesure d’attaquer les lecteurs réseau accessibles, et même cibler spécifiquement les fichiers qui ont des extensions de fichiers de sauvegarde.
Pirater les API des logiciels de sauvegarde
De nombreux logiciels de sauvegarde offrent leur propre interface de programmation d'application (API) accessible aux développeurs, incluants les créateurs de logiciels de rançon peuvent également accéder à ces API publiées, à des fins malveillantes, et les utiliser pour chiffrer des sauvegardes existantes.
Détruire les clichés (Windows Shadow copy)
Des logiciels de rançon tel que WannaCry (WannaCrypt0r) peuvent supprimer les copies virtuelles du volume créé par le système d'exploitation Windows de Microsoft.
Placer une bombe à retardement dans les sauvegardes
Le rançongiciel commence à infecter les données, mais ne les chiffre pas immédiatement. Ce n'est qu'après des jours, des semaines ou des mois pendant lesquels les données infectées ont été sauvegardées qu'il déclenche le chiffrement des données de production. L’entreprise tente alors de restaurer à partir de sauvegardes, elle-même déjà infectée. Il peut devenir alors très difficile pour une organisation de déterminer quand elle a été infectée initialement et quelles données sauvegardées elle peut restaurer de façon fiable et en toute confiance.
Comment dès lors protéger les copies de sauvegarde ?
Il est souvent fait mention des deux angles d’attaque pour contrer les rançongiciels, à savoir la prévention et la réparation. Mais beaucoup de manufacturiers de logiciel de prise de copie s’étaient limités à restaurer à partir des dernières copies réputées utilisables (donc sans en assumer la responsabilité), pour remplacer les fichiers chiffrés.
Cette attitude est en train de changer, et les manufacturiers commencent à intégrer des fonctionnalités de prévention et d’alertes les logiciels de sauvegarde étant dans leur position privilégiée pour détecter tous les changements de fichiers dans l’environnement.
La règle 3-2-1-1-0
Pour garantir que les copies de sécurité soient intègres, il faudrait non seulement qu’elles ne soient pas modifiables, mais aussi être certain qu’elles n’aient pas été infectées et qu’elles ne contiennent donc pas de rançongiciels dormants.
En d’autres termes, il faudrait ajouter un 0 à la règle 3-2-1-1 pour indiquer que les sauvegardes doivent être intègres et ne comporter aucune erreur après vérification de la récupérabilité des sauvegardes.
Quelles sont les options ?
Pour être certain de disposer d’au moins une copie de sécurité qui ne puisse être modifiée par un rançongiciels, il faut que cette copie ne puisse pas être modifiée.
Il existe plusieurs moyens d’y arriver à savoir parmi lesquels :
-
Rubans physiques ou virtuels (VTL) qui peuvent de plus être éjectés après la prise de copie.
-
Stockage immuable et WORM qui ne peuvent pas être réécrit.
-
Stockage avec gestion des versions. Lorsque la copie est modifiée, une nouvelle copie est créée sans affecter la copie originale.
Veeam a annoncé que la version 10 de Backup & Replication allaient supporter la fonctionnalité de stockage immuable dans un premier temps avec Amazon S3.
Conclusion
La croyance populaire veut que si vous sauvegardez vos données, vous pouvez récupérer d'une attaque par rançongiciel. Bien que cette prémisse soit généralement vraie, la simple sauvegarde de vos données ne constitue plus aujourd’hui une garantie absolue que vous pourrez vous remettre d'une attaque par logiciel de rançon.
Votre stratégie actuelle vous met-elle à l’abri d’une infection de vos copies de sécurité?
