Bienvenue 192To dans la famille Ootbi | En savoir plus ici >>
  • Blog
  • Ransomware Horror Stories
Entreprises

Ransomware Horror Stories

| 7 min de lecture

Pendant mon temps passé dans les tranchées de la protection des données, j'ai rencontré le ransomware de nombreuses fois. Ce furent de véritables histoires d'horreur où les propriétaires d'entreprises étaient au bord de la faillite ou de la perte totale de réputation. Ce qui suit est une courte collection de réflexions et de descriptions de mon histoire d'horreur concernant les attaques par ransomware.

Au début, il y avait la simple restauration

Je n'oublierai jamais la première fois que j'ai reçu un appel après qu'un client ait été frappé par un étrange nouveau virus qui avait chiffré tous ses fichiers. Ils avaient tout essayé mais n'arrivaient pas à comprendre comment remettre leur entreprise en marche. Cette expérience était difficile, mais une restauration complète rapide à partir de la dernière sauvegarde a fait l'affaire, et tout le monde était heureux.

Malheureusement, cela ne disparaissait pas, et il n'a pas fallu longtemps avant que le prochain appel ne vienne quelques semaines plus tard. C'était une histoire d'horreur qui allait être continue et en constante évolution.

Augmenter les enjeux

Il n'a pas fallu longtemps aux créateurs de ransomware pour réaliser que les sauvegardes entravaient leurs efforts d'extorsion et, par conséquent, devaient être neutralisées.

La série monotone d'appels de ransomware ordinaires a pris fin brusquement lorsque, un jour, le client a annoncé que ses sauvegardes avaient également été chiffrées. Les acteurs malveillants avaient chiffré le serveur de sauvegarde et le dépôt NTFS situé sur le disque local du serveur de sauvegarde. C'était une configuration typique dans de nombreuses organisations de taille moyenne à petite. Heureusement, le client avait également des travaux de sauvegarde sur bande, et nous avons pu restaurer une sauvegarde quelque peu plus ancienne mais néanmoins bonne. Il est devenu de plus en plus évident que lorsqu'il s'agissait de protection contre ransomwares, plus de sauvegardes étaient définitivement meilleures.

Ils évoluent, nous évoluons

Après cet incident, nous avons commencé à dire à nos clients de retirer le serveur VBR du domaine de production et d'avoir des sauvegardes hors site ou des sauvegardes hors ligne. Dans le passé, nous avions pensé aux sauvegardes hors site principalement du point de vue des catastrophes, en d'autres termes, des problèmes physiques potentiels au centre de données local, mais avec l'avènement du ransomware, l'importance de garder une copie supplémentaire hors site est devenue essentielle.

Cependant, il n'a pas fallu longtemps avant que nous ayons notre premier cas de sauvegardes cloud supprimées. Les gangs de ransomware avaient découvert comment supprimer les travaux de sauvegarde Cloud Connect une fois qu'ils avaient pris le contrôle du serveur VBR. En réponse à cela et aux menaces internes, Veeam a ajouté une protection contre les menaces internes, qui déplacerait toute sauvegarde supprimée vers une corbeille cachée. Cependant, les escrocs rusés étaient, dans certains cas, capables de réduire la rétention des sauvegardes et de chiffrer les dernières sauvegardes, ce qui affectait ce mécanisme de défense. Il fallait quelque chose de plus !

Entrez l'immuabilité

Le système de fichiers Linux prend en charge le bit immuable depuis un certain temps. Pourtant, cela n'a été relativement récemment combiné avec les sauvegardes Veeam pour créer des sauvegardes solides et immuables.

Maintenant, même si l'acteur malveillant prenait le contrôle du serveur VBR, il ne pourrait toujours pas supprimer les sauvegardes.

Ajouter l'immuabilité, nous pensions que c'était la solution, l'ail pour nos vampires de ransomware !

Halloween tous les jours !

Hélas, les histoires d'horreur ne se sont pas arrêtées là. Malheureusement, nos ennemis effrayants ont conçu de nouvelles méthodes pour saper les défenses de protection des données. En plaçant des ransomwares dormants sur les systèmes attaqués, ils pouvaient infecter les sauvegardes de sorte que même s'ils ne pouvaient pas supprimer ces dernières, ils réinfecteraient simplement la victime peu après que toutes les restaurations aient été complétées. C'était peut-être l'un des scénarios les plus effrayants et les pires, car les montagnes russes émotionnelles de devoir effectuer plusieurs sessions de restauration pendant de nombreux jours consécutifs useraient considérablement les équipes informatiques. Ils restaureraient leurs systèmes seulement pour les retrouver de nouveau réinfectés peu après. D'intenses batailles ont eu lieu en utilisant des méthodes de détection de ransomware et des antivirus, entraînant plus de temps d'arrêt et de stress pour les clients affectés.

En ce qui concerne le ransomware, Halloween ne vient pas une fois par an mais est une menace quotidienne et répétitive. La forme de trick-or-treating des gangs de ransomware est tout simplement trop lucrative pour qu'ils y renoncent, et avec chaque nouvelle défense, ils tentent de trouver une sorte de faille pour continuer dans leurs voies maléfiques mais hautement rentables.

La seule solution est de faire fuir les fantômes !

ZTDR, ou Zerto Trust Data Resilience, est la nouvelle stratégie de Veeam pour effrayer les démons du ransomware. Ses principes incluent l'hypothèse de violation, la segmentation du stockage de sauvegarde loin des autres composants de la configuration de protection des données, le test des sauvegardes pour détecter les infections en utilisant le scan en ligne et les règles Yara, et, bien sûr, s'assurer que toutes vos sauvegardes sont immuables !

Si vous ne voulez pas entrer dans le cimetière de ransomware de données commerciales chiffrées, alors assurez-vous de suivre ZTDR 

Actualités produit

En soumettant ce formulaire, je confirme avoir lu et approuvé la Politique de confidentialité.

A voir aussi