Les gangs de ransomwares visent les sauvegardes pour maximiser les gains
Les sauvegardes de données sont devenues une cible incontournable pour les auteurs de ransomwares, selon un rapport publié par une société de cybersécurité.
L'étude, sponsorisée par Sophos et basée sur une enquête menée auprès de près de 3 000 professionnels de l'informatique et de la sécurité dans 14 pays, a révélé que 94 % des organisations touchées par un ransomware au cours de l'année écoulée ont déclaré que les auteurs de la menace avaient tenté de compromettre leurs sauvegardes lors de l'attaque.
Pour les organisations des secteurs du gouvernement, des médias, des loisirs et du divertissement, les chiffres étaient encore plus élevés : 99 %.
Le rapport explique qu'il existe deux manières principales de récupérer des données cryptées lors d'une attaque de ransomware : restaurer à partir de sauvegardes et payer la rançon.
“La compromission des sauvegardes d'une organisation permet aux auteurs de ransomwares de restreindre la capacité de leurs victimes à récupérer des données cryptées et, ce faisant, d'augmenter la pression pour payer”, ont écrit les chercheurs.
“C'est devenu une partie courante du scénario que ces types utilisent dans leurs attaques”, a déclaré Curtis Fechner, responsable des cybermenaces chez Optiv, un fournisseur de solutions de cybersécurité dont le siège est à Denver.
“Ils essaient toujours de trouver où se trouvent les sauvegardes et de les rendre inaccessibles”, a-t-il déclaré à TechNewsWorld. “Une partie de leur calcul pour être payé consiste à trouver des sauvegardes, car ils veulent maximiser le montant des revenus qu'ils peuvent tirer d'une attaque.”
« Si j'ai mis vos sauvegardes hors ligne et comme moyen de récupération, je vous ai rendu plus susceptible de payer, mais je peux aussi vous presser davantage parce que je sais que vous êtes désespéré. Je sais que vous êtes dans une impasse », a ajouté Fechner.
Menace en évolution
Lorsque les ransomwares d'entreprise ont fait leur apparition il y a environ 10 ans, ils n'étaient pas trop sophistiqués, a expliqué Ilia Sotnikov, stratège en sécurité et vice-président de l'expérience utilisateur chez Netwrix, une société de logiciels de sécurité informatique dont le siège est à Frisco, au Texas.
« Le malware ransomware a exploité des configurations non sécurisées ou des vulnérabilités du système pour se propager rapidement dans l’environnement et a chiffré toutes les données auxquelles ce malware a réussi à accéder. En conséquence, la victime a été extorquée pour payer une rançon pour obtenir une clé de déchiffrement afin de restaurer ses opérations », a-t-il déclaré à TechNewsWorld.
« Le secteur de la cybersécurité a répondu à cette menace avec une approche de sécurité à plusieurs niveaux basée sur de meilleures capacités de protection et de détection, ainsi qu'une discipline établie en matière de sauvegarde et de restauration », a-t-il déclaré. « En conséquence, les organisations ont déjoué la plupart des attaques, minimisé le nombre d’attaques réussies et appris comment restaurer efficacement les systèmes et les opérations sans payer de rançon. »
En retour, a-t-il poursuivi, la stratégie des ransomwares a évolué pour augmenter les chances de succès en recherchant de nouveaux moyens de contrer les mesures de sécurité. Les logiciels malveillants sont devenus plus évasifs. Les criminels ont commencé à consacrer plus de temps à la phase de reconnaissance pour identifier et cibler les données les plus sensibles. Des gangs comme Maze et LockBit ont commencé à exfiltrer les données de l’entreprise et ont ajouté au cryptage la menace d’une fuite de données publiques – un système connu sous le nom de double extorsion.
« Depuis lors », a-t-il ajouté, « les attaquants de ransomware ont également commencé à cibler les sauvegardes pour rendre la récupération impossible ou excessivement coûteuse, obligeant les victimes à payer la rançon ».
Sauvegardes supprimées, rançon augmentée
Sophos a signalé que les victimes dont les sauvegardes ont été compromises ont reçu des demandes de rançon qui représentaient, en moyenne, plus du double de celles dont les sauvegardes n'avaient pas été affectées. Les demandes de rançon médianes pour les victimes dont les sauvegardes étaient compromises s'élevaient à 2,3 millions de dollars, contre 1 million de dollars pour les victimes dont les sauvegardes étaient non compromises.
« Les sauvegardes constituent un filet de sécurité pour les organisations. Cependant, si cette sauvegarde est compromise et que l'organisation subit une cyberattaque, elle pourrait être plus désespérée de récupérer l'accès à ses réseaux et à ses données », a déclaré Darren Guccione, PDG de Keeper Security, une société de gestion de mots de passe et de stockage en ligne à Chicago.
“Les attaquants se rendent compte qu'en supprimant l'accès à une sauvegarde, les organisations se retrouvent plus vulnérables et n'ont que peu d'options, sauf répondre aux demandes de rançon exorbitantes pour récupérer leurs données”, a-t-il déclaré à TechNewsWorld.
L’incapacité des organisations dont les sauvegardes sont compromises à négocier avec les acteurs des ransomwares a été confirmée par l’étude Sophos. Il a révélé que ceux dont les sauvegardes étaient compromises payaient en moyenne 98 % de la rançon demandée, contre 82 % sans sauvegardes compromises.
Le rapport note également que les organisations dont les sauvegardes ont été compromises étaient presque deux fois plus susceptibles de payer une rançon pour récupérer les données cryptées (67 %) que celles dont les sauvegardes n'ont pas été affectées (36 %).
Prix de récupération plus élevé
Non seulement les victimes dont les sauvegardes sont compromises paient des rançons plus élevées, mais elles paient également davantage pour se remettre d’une attaque.
Les coûts globaux médians de récupération après ransomware pour les organisations dont les sauvegardes ont été compromises étaient huit fois plus élevés (3 millions de dollars) que pour celles dont les sauvegardes n'ont pas été affectées (375 000 $).
Guccione a expliqué que les coûts de rétablissement pour les organisations victimes d'attaques de ransomware comprennent la perte de revenus due à une interruption opérationnelle et à l'atteinte à la réputation de la marque, les efforts de rétablissement immédiats et à long terme, le coût du paiement de la rançon lui-même, ainsi que la possibilité d'amendes. et autres responsabilités juridiques potentielles.
« Lorsque l'attaque du ransomware inclut également des sauvegardes, le processus de restauration est considérablement prolongé, car les organisations doivent reconstruire leurs systèmes, données et autres configurations critiques », a-t-il déclaré. « Si la violation entraîne une perte de données sensibles, en particulier si elle implique des informations personnelles identifiables, ou si elle relève de réglementations sur la protection des données, telles que le RGPD ou la HIPAA, les organisations peuvent encourir des dépenses juridiques et réglementaires supplémentaires. »
Selon le rapport Sophos, les temps de récupération suite à des attaques de ransomwares sont également plus longs pour les organisations dont les sauvegardes sont compromises. Seulement 26 % de ceux dont les sauvegardes étaient compromises ont récupéré dans la semaine suivant une attaque, contre 46 % de ceux dont les sauvegardes n'étaient pas compromises.
Sauvegardes hors ligne : sécurité et coût
Il y a probablement plusieurs raisons derrière l'écart dans les délais de restauration entre les organisations avec des sauvegardes compromises et non compromises, note le rapport, la moindre n'étant pas le travail supplémentaire généralement nécessaire pour restaurer à partir de données déchiffrées plutôt que de sauvegardes bien préparées. Il se peut également qu'une protection de sauvegarde plus faible soit le signe de défenses moins robustes et d'un travail de reconstruction plus important qui en résulte, ajoute-t-il.
« Les sauvegardes n'ont généralement pas le même niveau de contrôles de sécurité que les systèmes de production », a déclaré Narayana Pappu, PDG de Zendata, une société de collecte, de gestion et de partage de données basée à San Francisco.
“La mise en œuvre de contrôles d'accès, de sécurité et de journalisation similaires, ainsi que des tests sur les systèmes de sauvegarde, aideraient beaucoup”, a-t-il déclaré à TechNewsWorld. « De plus, disposer de plusieurs copies de sauvegardes à plusieurs endroits, à la fois dans le cloud et hors ligne, avec un plan de reprise après sinistre permettrait de réduire les temps d'arrêt. »
Même si les sauvegardes hors ligne constituent un bon moyen de déjouer les menaces qui pèsent sur les sauvegardes, elles peuvent s'avérer coûteuses, a souligné Fechner. « Si vous avez des sauvegardes hors ligne et inaccessibles à un attaquant, alors vous disposez de quelque chose à partir duquel sauvegarder », a-t-il déclaré. « Mais comme de nombreuses organisations ne peuvent pas se le permettre, en particulier lorsque tant de victimes appartiennent à la catégorie des petites et moyennes entreprises, les attaques contre les sauvegardes restent fructueuses pour les attaquants. »
Note de l'éditeur : le rapport Sophos est disponible au format PDF. Aucun remplissage de formulaire n’est requis.