Vos sauvegardes dans le cloud pourraient être la cible des opérateurs de ransomwares
Nous avons déjà mentionné que les personnes et les organisations sont désormais beaucoup plus conscientes de la menace des ransomwares qu'elles ne l'étaient auparavant. C'est en partie la raison pour laquelle, au moins en ce qui concerne les statistiques, les logiciels malveillants de cryptage de fichiers ne sont plus le plus gros problème de cybersécurité pour les utilisateurs à domicile. Il est toujours vivant et dynamique, cependant, et c'est parce que les gens continuent de penser que tant qu'ils ont des sauvegardes, ils sont en sécurité. Bleeping Computer, un média d'information sur la sécurité, a récemment noté que ce type de réflexion pouvait mettre les utilisateurs finaux et les grandes organisations dans une très mauvaise situation.
Table of Contents
Les opérateurs de ransomware se mêlent des sauvegardes cloud des victimes
Bleeping Computer suit depuis longtemps les développements autour des familles de ransomwares ciblant les entreprises comme DoppelPaymer et Maze. Le mois dernier, le site Web de nouvelles a vu l'apparition de "fuites Dopple" - un portail en ligne géré et maintenu par le gang DopplePaymer qui est utilisé pour exposer les informations sensibles des organisations qui ont été touchées par le ransomware mais refusent de payer la rançon.
Peu de temps après le lancement des fuites de Dopple, les escrocs ont publié l'emplacement et les informations de connexion d'une sauvegarde cloud Veeam qui appartient à l'une des victimes. C'était un geste curieux de la part des escrocs, et Bleeping Computer a décidé de les contacter pour savoir ce qui se passait.
Les attaques de ransomwares donnent aux cybercriminels un accès complet aux données d'une entreprise, y compris ses sauvegardes
Le média a contacté les gangs exploitant les familles de ransomwares DoppplePaymer et Maze et leur a demandé comment ils mettaient la main sur ces données de connexion et pourquoi ils décidaient parfois de les publier. Sans surprise, les escrocs ne voulaient pas donner trop de détails, mais ils ont fourni suffisamment d'informations pour nous donner un aperçu du fonctionnement des attaques de ransomwares visant les entreprises de nos jours.
Les pirates informatiques commencent par compromettre un seul point de terminaison à l'aide de phishing, de logiciels malveillants ou d'un service Remote Desktop Protocol mal configuré. Le verrouillage des données sur un seul ordinateur peut parfois être assez dévastateur, mais les escrocs veulent garantir un maximum de dommages, c'est pourquoi ils essaient ensuite de se déplacer latéralement au sein du réseau. Le but ultime est d'extraire les informations d'identification d'administrateur qui leur donnent un contrôle total sur l'infrastructure informatique de la victime. Pour obtenir ces informations d'identification, les escrocs utilisent des enregistreurs de frappe, des attaques de phishing et des kits de test de pénétration comme Mimikatz. Même après avoir pris le contrôle du réseau de la victime, les escrocs ne procèdent pas immédiatement à l'étape de cryptage des fichiers.
Les attaques de ransomwares modernes impliquent des outils qui recherchent des sauvegardes locales et cloud. Si des sauvegardes sont présentes, les opérateurs de rançongiciels peuvent copier les données sur des serveurs qu'ils contrôlent et les utiliser pour d'autres attaques plus tard. Ils peuvent également le supprimer afin de s'assurer que la victime n'a pas d'autre choix que de payer la rançon. Dans de nombreux cas, les sauvegardes stockées dans le cloud sont protégées par des noms d'utilisateur et des mots de passe, mais souvent, elles sont accessibles avec les informations d'identification administratives que les escrocs ont déjà volées, donc les atteindre n'est pas un problème.
Les opérateurs de ransomwares veulent montrer au monde à quel point ils pourraient être dangereux
Nous ne devrions pas vraiment être surpris par le fait que les opérateurs de ransomware puissent accéder aux sauvegardes des victimes. Il y a quelques mois, les experts en sécurité ont remarqué que les cybercriminels ont commencé à voler des données sensibles de l'entreprise avant de les chiffrer, et il était normal de supposer que tôt ou tard, ils mettront la main sur certaines sauvegardes.
L'attaque dont Bleeping Computer a parlé était cependant un peu étrange, car au cours de celle-ci, les escrocs ont décidé de ne pas supprimer les sauvegardes et de laisser leur victime sans aucun moyen de restaurer les données gratuitement. Ils n'ont pas non plus tenté de monétiser les informations sauvegardées en les vendant sur les marchés souterrains. Au lieu de cela, ils l'ont simplement mis sur un site Web public où tout le monde pouvait y accéder.
Les opérateurs de DopplePaymer ont déclaré à Bleeping Computer qu'ils l'ont fait afin de montrer au monde combien ils contrôlent les réseaux des victimes. En d'autres termes, ils disent à tout le monde à quel point leurs attaques peuvent être dangereuses, et si nous devons rechercher la doublure argentée dans tout l'incident, nous dirions probablement que cela a augmenté les chances des entreprises de repenser leurs politiques de sauvegarde.
Les gens doivent cesser de supposer qu'une seule sauvegarde est suffisante pour assurer une récupération transparente à la suite d'une attaque de ransomware. Vous pourriez même affirmer que, surtout en ce qui concerne les entreprises, il n'y a rien de tel qu'une récupération transparente. Cela ne signifie pas pour autant que les sauvegardes ne sont pas importantes. En fait, si quoi que ce soit, des incidents tels que celui décrit ci-dessus montrent que la sauvegarde sécurisée des données est un processus long qui implique beaucoup de prise de décision et un niveau élevé d'attention aux détails.
