Comment un rançongiciel a quasiment eu raison de leur entreprise de tourisme

Imaginez que plus un utilisateur n’ait instantanément accès depuis son ordinateur à aucune des applications sur le nuage ni données financières voire vidéos de sécurité de votre société, représentant dix années de dur labeur. Un vrai cauchemar pour beaucoup d’entre nous, mais une sombre réalité le mois passé pour une agence de voyage australienne en plein essor.

Le jour du nouvel an, alors que l’Occident se prélassait et célébrait cette date emblématique, l’équipe d’Emsisoft se démenait pour éteindre un énorme incendie : notre directeur de la technologie, Fabian Wosar, avait disséqué Ransom32, le premier rançongiciel sous JavaScript à prendre la Toile par surprise, et rétro-conçu le logiciel pour pouvoir créer un décodeur proposé gratuitement, comme d’habitude.

Comme nous le faisions remarquer dans un de nos articles précédents Rançongiciel pour tous : 3 étapes pour assurer la sécurité de vos données, les sociétés se mettent en danger de devoir réinventer des dizaines d’années-hommes en termes de propriété intellectuelle si elles venaient à perdre leurs données. Pour des milliers d’entre elles, au quotidien ce cauchemar devient une vraie réalité.

Quelques semaines seulement après publication de cet article sur notre blog, le directeur de l’informatique et de la conformité de ladite société de tourisme australienne pris contact avec nous afin de nous relater une histoire qui fait froid dans le dos.

Le rançongiciel malveillant avait pris en otage, entre autres, les solutions que la société avait sur le nuage (comptes Dropbox et One Drive), l’ensemble des dossiers financiers et les vidéos de sécurité. En un instant, les 500 utilisateurs de l’entreprise avaient perdu l’accès à près de 20 To de données et de 10 années de travail.

Comme le directeur l’écrit ci-après, ce fut un « VRAI DÉSASTRE, une expérience à laquelle nous n’étions pas vraiment préparés … »

Lisez ci-après ce que la société a souhaité partager avec nous :

Salut Fabian,

Je souhaite te remercier sincèrement pour ton aide et ton assistance au cours de la semaine passée quand nous nous sommes faits attaquer par un virus RANÇONGICIEL. La rapidité de ta réponse à notre problème majeur a sauvé notre entreprise, littéralement !

Il nous a fallu une semaine pour trouver L’EXPERT et identifier le virus, et par là-même la solution, et une autre encore pour que je m’occupe de chaque appareil et remédie aux dégâts causés.

J’ai, depuis, acheté 10 licences d’EMSISOFT car son analyse de comportement aurait pu nous épargner tous ces tracas.

Comme tu le sais très bien, ce LOGICIEL MALVEILLANT en particulier analyse tous les lecteurs (même ceux mappés) et, dans notre cas, un réseau de pair à pair sous Windows 10 dont toutes les machines sauvegardaient les fichiers personnels en local et les fichiers de groupe sur le serveur.

Notre talon d’Achille résidait dans le fait que tous les ordinateurs partageaient des données avec les autres dans différentes zones de données sur d’autres lecteurs. Le clic d’UN SEUL utilisateur sur le fichier compressé EXE entraîna la modification de toutes les DONNÉES sur 8 machines et le serveur (via les partages). Nous NE sauvegardons PAS les données des ordinateurs locaux (peu de gens le font), et c’est donc le serveur qui stocke les données historiques essentielles.

Voici certaines des données qui avaient été rendues inutilisables :

TOUTES les données EN LIGNE partagées via DROPBOX et 365 OneDrive Business pour tous nos agents externes – actuellement 500 utilisateurs – 2 comptes de 1 To
Fichiers compressés de sauvegarde du compte MYOB de l’année passée et des années antérieures
Documents juridiques et d’assurance
Fichiers bancaires et autres fichiers XLS
Marketing client (PDF)
Enregistrement des données de VoIP
Vidéos de sécurité
Informations de développement du site Internet (images)
Données d’audit
Cahier des charges / présentations (DOC, PPT)
etc., etc., etc.

Même les données sauvegardées n’avaient pas été épargnées

Pourquoi ne pas avoir fait de sauvegarde nous direz-vous ? Nous en avions fait mais voilà, elles consistaient en des fichiers/utilisateurs (stockage en réseau) … par exemple \\SERVEUR\(N:)\Utilisateur

Toutes les sauvegardes client sont « mappées ». Par conséquent, TOUTES les copies des fichiers ont également été touchées, y compris tous les historiques de fichier sur ordinateur par utilisateur et enregistrés depuis leurs ordinateurs respectifs. Le serveur est sauvegardé selon une rotation de 3 lecteurs donc, au moment où le problème a été découvert, les sauvegardes infectées avaient écrasées les données des sauvegardes saines.

Un fichier se trouve sur un ordinateur client, un stockage en réseau, un serveur, dans un historique de fichiers par ordinateur ou en ligne … Cependant dans NOTRE cas, RIEN N’A SERVI.

Une archive est effectuée chaque mois, de sorte que nous aurions pu retourner 6 semaines en arrière pour trouver les données du serveur mais pas les sauvegardes du stockage en réseau en direct ni les données actuelles des huit ordinateurs.

Récupérer tout le stockage en ligne aurait pris un temps considérable.

EFFECTUER DES COPIES DES DONNÉES N’EST BIEN ENTENDU PLUS UNE OPTION…

Nous sommes actuellement à la recherche de systèmes basés sur des images pouvant être à la fois archive et incrémentiel, capable de nous permettre d’effectuer une restauration à un point donné dans le temps, plutôt que des changements uniquement dans les fichiers. Puisque le virus les avait changées, elles avaient ensuite été ajoutées à la sauvegarde.

En TOUT, 1 serveur (2 To), 8 ordinateurs (100 Go chacun), plusieurs stockages EN LIGNE (professionnel : 2 To et personnel 4 To), le stockage client en réseau (4 To) et 6 To de sauvegarde sur le serveur

Totalisant près de 20 To de données et de 10 ans de travail rendus inaccessibles et empêchant nos utilisateurs de travailler … Une VÉRITABLE CATASTTROPHE à laquelle nous n’étions pas vraiment préparés …

J’avoue qu’un incendie aurait fait moins de dégâts … la sonnette d’alarme a retenti haut et fort, et toutes les autres sociétés doivent prendre conscience que cela peut se produire…

Encore une fois FABIAN, nous ne pouvons pas assez te remercier pour ton travail inlassable en matière de combat contre les menaces de données qui nous entourent. Accepte notre plus sincère gratitude…

TOUTES LES DONNÉES ONT ÉTÉ RÉCUPÉRÉES. Pas un fichier ne manque…

Salutations

[Nom masqué]
Directeur de l’informatique et de la conformité

Ce que vous pouvez faire pour empêcher un tel cauchemar :

1. Ne stockez pas les sauvegardes sur des disques en local ou des partages réseau mappés car les logiciels malveillants pourront aussi les infecter.

Cette étude de cas valide notre observation comme quoi la sécurité n’est efficace qu’à hauteur de son maillon faible. Pour réduire les effets dévastateurs d’une attaque malveillante (qui, nous l’espérons, jamais ne se produira), veillez à ne pas stocker vos sauvegardes sur vos propres disques durs ou partages réseau mappés, facilement accessibles aux logiciels malveillants.

2. Fermez toutes les portes d’accès : veillez à ce que vos systèmes et programmes soient toujours à jour, et utilisez une protection en temps réel.

Le maillon faible est souvent un employé bien intentionné qui s’efforce de faire son travail correctement, sans se rendre compte des risques de sécurité inhérents au monde en ligne d’aujourd’hui. Pour fermer les portes d’entrée, assurez-vous que vos programmes et systèmes sont constamment actualisés (et nous ne parlons pas d’une fois de temps en temps mais de tous les jours). Veillez également à utiliser une protection en temps réel de confiance, capable de détecter tous les logiciels malveillants avant qu’ils n’infectent vos ordinateurs. Car comme le dicton le dit : Mieux vaut prévenir que guérir.