Ces victimes de ransomware pensaient que leurs sauvegardes étaient en sécurité. Elles avaient tort
L’agence britannique de cybersécurité a mis à jour ses conseils sur ce qu’il faut faire après une attaque de type rançongiciel, et ce suite à une série d’incidents au cours desquels des organisations ont été touhées par ce type d’attaque ont également vu leurs sauvegardes être chiffrées par les hackers parce qu’elles les avaient laissées connectées à leurs réseaux.
Conserver une copie de sauvegarde des données critiques est un bon moyen de réduire les dommages causés par une attaque par ransomware. Cela permet aux entreprises de remettre leurs systèmes en état de marche sans avoir à payer les pirates. Mais ces données de sauvegarde ne sont pas très utiles si elles sont également infectées par un logiciel de rançon – et donc chiffrées et inutilisables – parce qu’elles étaient encore connectées au réseau au moment de l’attaque.
Le Centre national de cybersécurité du Royaume-Uni (NCSC) a donc mis à jour ses directives en mettant l’accent sur les sauvegardes hors ligne comme moyen de défense contre ce type d’attaques.
S’assurer qu’une sauvegarde est conservée séparément du réseau
“Nous avons vu un certain nombre d’incidents liés aux ransomware récemment où les victimes avaient sauvegardé leurs données critiques (ce qui est bien), mais toutes les sauvegardes étaient en ligne au moment de l’incident (ce qui n’est pas bien). Cela signifie que les sauvegardes ont également été chiffrées avec le reste des données de la victime” averti l’agence.
Bien que le NCSC ait déjà recommandé les sauvegardes hors ligne, il a déclaré que des incidents récents, tels que les attaques du cheval de Troie bancaire Trickbot, suggéraient qu’il fallait insister davantage.
La bonne pratique pour atténuer les conséquences de ce type d’attaque, dit le NCSC, est de s’assurer que les entreprises disposent de sauvegardes à jour des fichiers importants. Les entreprises doivent s’assurer qu’une sauvegarde est conservée séparément de leur réseau – hors ligne – ou dans un service en nuage conçu à cet effet.
Dropbox, OneDrive et SharePoint, ou Google Drive ne devraient pas être utilisés comme seule sauvegarde
Toutefois, le NCSC avertit que les services de synchronisation dans le cloud (comme Dropbox, OneDrive et SharePoint, ou Google Drive) ne devraient pas être utilisés comme seule sauvegarde, au cas où ils se synchroniseraient automatiquement immédiatement après que les fichiers aient été bloqués, auquel cas les copies synchronisées seraient également perdues.
L’agence recommande également que le dispositif contenant votre sauvegarde, comme un disque dur externe ou une clé USB, ne soit pas connecté en permanence à votre réseau. Et que plusieurs copies soient faites. Le NCSC a également mis en garde : “Un attaquant peut choisir de lancer une attaque de type ransomware lorsqu’il sait que le stockage contenant les sauvegardes est connecté”.
Le NCSC note avoir été témoin de nombreux incidents où des logiciels de ransomware ont non seulement chiffré les données originales sur le disque, “mais aussi les clés USB et les disques de stockage réseau connectés contenant les sauvegardes de données. Les incidents impliquant des ransomwares ont également compromis les emplacements de stockage en mode cloud contenant des sauvegardes“.
La méthode la plus courante pour créer des sauvegardes de données résilientes, a déclaré le NCSC, est de suivre la règle du “3-2-1” : au moins trois copies, sur deux dispositifs, et une hors site.
Source : “ZDNet.com”
