Archives des Ransomware - Recoveo

Que faire face à une cyberattaque : conseils et bonnes pratiques

fchassignol — Fri, 15 Mar 2024 19:59:24 +0000

Les cyberattaques sont devenues une réalité quotidienne, touchant aussi bien les particuliers que les entreprises avec une fréquence et une sophistication alarmantes. La menace de ces attaques numériques n’a jamais été aussi pressante qu’aujourd’hui où nos vies et nos économies sont de plus en plus interconnectées. Les cyberattaques peuvent prendre différentes formes, allant du phishing au ransomware, en passant par les attaques sur les infrastructures critiques, et avoir des conséquences parfois désastreuses. Alors, comment faire face à une cyberattaque ? Quels réflexes adopter pour protéger ses données et sécuriser ses systèmes informatiques ?

Définition d’une cyberattaque

Une cyberattaque est une menace qui vise à exploiter les vulnérabilités d’un système informatique (ordinateur, serveur, réseau) pour réaliser un acte malveillant. Il peut s’agir de l’accès non autorisé à des informations confidentielles, du vol de données, de la prise de contrôle à distance, de la propagation logiciels malveillants (malwares) ou encore du piratage de comptes en ligne. Derrière ces attaques, on trouve souvent des individus ou des groupes organisés, communément désignés sous les termes de « pirates » ou « hackers », qui peuvent être motivés par une variété d’objectifs, allant du gain financier à la simple recherche de notoriété, en passant par des intentions plus malveillantes telles que l’espionnage industriel ou le sabotage.

Ces menaces numériques exploitent les vulnérabilités techniques, mais peuvent également tirer parti de faiblesses humaines ou organisationnelles, comme le manque de sensibilisation à la sécurité informatique. Une cyberattaque peut compromettre la sécurité des données et des infrastructures critiques, provoquer des interruptions de service prolongées et exposer à des risques de litiges juridiques. Elle peut également compromettre la confidentialité des informations personnelles et professionnelles, entraîner des pertes financières significatives, et nuire à la confiance des clients et partenaires.

Conséquences pour les particuliers et les entreprises

Pour les particuliers, une cyberattaque peut causer de sérieux problèmes : usurpation d’identité, transactions frauduleuses, perte de données personnelles (photos, vidéos, courriels), voire même l’infiltration dans les équipements connectés de la maison (caméra de surveillance, thermostats…).

De leur côté, les entreprises sont confrontées à des risques plus considérables en cas de cyberattaque : arrêt complet ou partiel de l’activité, pertes financières (vols, fraudes), réputation endommagée, fuite d’informations confidentielles (données clients, secrets industriels) ou encore faille dans les systèmes de protection.

Réflexes à adopter en cas de cyberattaque

Si vous êtes victime d’une cyberattaque, selon que vous soyez un particulier ou une entreprise, voici quelques bons réflexes à adopter :

Quelles mesures prendre face à une cyberattaque en entreprise, TPE / PME ?

Lorsqu’une entreprise, TPE ou PME, est confrontée à une cyberattaque, la rapidité et l’efficacité de la réponse sont cruciales pour minimiser les dommages et les perturbations. Voici les étapes clés à suivre :

Débrancher immédiatement la machine du réseau pour limiter la propagation de l’attaque. Cela inclut la déconnexion du câble réseau, du Wi-Fi et des données mobiles.
Conserver l’appareil allumé pour ne pas perdre d’éléments de preuve essentiels à l’enquête future.
Alerter sans délai le support informatique ou le responsable de la sécurité des systèmes d’information (RSSI) pour qu’ils prennent les mesures nécessaires.
Cesser l’utilisation de l’équipement compromis pour éviter la suppression de traces importantes.
Informer les collègues pour prévenir des actions qui pourraient aggraver la situation.

En plus de ces mesures immédiates, il est impératif de déposer une plainte dans les 72 heures suivant la découverte de l’attaque, conformément à la Loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) en vigueur depuis le 24 avril 2023. Ce dépôt de plainte est une condition sine qua non pour que les entreprises puissent prétendre à une indemnisation de la part de leur assureur si un tel contrat a été souscrit.

Pour approfondir votre compréhension de cette obligation légale et des démarches à suivre après une cyberattaque, nous vous invitons à écouter le podcast Focus PME de la CPME qui y est consacré. Marc Bothorel, expert en cybersécurité, y détaille en 4 minutes les actions essentielles à entreprendre, la procédure de dépôt de plainte et les implications en l’absence d’assurance.

Le processus de dépôt de plainte implique de se rendre au commissariat de police ou à la gendarmerie avec toutes les preuves disponibles (captures d’écran, disques durs, etc.) et les informations nécessaires pour documenter l’attaque.

Actuellement, le dépôt de plainte pour cyberattaque ne peut se faire en ligne. En cas de besoin, des ressources d’assistance sont à votre disposition :

Le service téléphonique d’info escroquerie de la police nationale au 0 805 805 817, accessible gratuitement.
Les services de chat en ligne dédiés à la cybercriminalité, disponibles 24h/24, proposés par la gendarmerie et la police nationale.

Vous pouvez être accompagné et échanger directement avec un policier ou un gendarme sur le site : https://www.masecurite.interieur.gouv.fr/fr .

À noter : si le représentant légal de l’entreprise est dans l’impossibilité de se déplacer, il est nécessaire de se munir d’une copie de sa pièce d’identité, d’un extrait Kbis récent, ainsi que d’un mandat officiel daté et signé.

Il est également possible de porter plainte auprès du procureur de la République par courrier, en joignant le maximum de preuves. Pour vous aider, un modèle de lettre de dépôt de plainte, est disponible sur service-public.fr. Vous pouvez soit le copier, soit le compléter en ligne et le télécharger au format PDF, puis le signer et l’envoyer au tribunal compétant pour votre cas.

Il est important de considérer que si l’attaque a entraîné une fuite de données personnelles, vous êtes tenu de le signaler à la CNIL dans le même délai de 72 heures, pour vous conformer aux obligations légales de protection des données.

Prendre ces mesures non seulement aide à limiter l’impact de l’attaque mais contribue également à la lutte contre la cybercriminalité, en permettant aux autorités d’agir plus efficacement contre les auteurs.

Comment réagir face à une cyberattaque en tant que particulier ?

Si vous êtes un particulier et que vous vous retrouvez face à une cyberattaque, agir rapidement peut grandement aider à minimiser les dommages. Voici les étapes à suivre pour sécuriser vos informations et limiter la propagation de l’attaque :

Déconnectez immédiatement vos appareils du réseau pour éviter la propagation de la menace. Cela peut concerner votre ordinateur, votre smartphone, mais aussi vos objets connectés susceptibles d’être compromis, comme votre caméra de surveillance ou votre thermostat.
Identifiez le type d’attaque dont vous êtes victime. Les cyberattaques peuvent se manifester sous différentes formes, telles que les virus informatiques, le phishing (hameçonnage), ou encore les ransomwares (rançongiciels). Reconnaître le type d’attaque vous aidera à déterminer les mesures spécifiques à prendre.
Contactez un support informatique professionnel si nécessaire. Obtenir de l’aide pour gérer techniquement l’incident peut être crucial pour récupérer vos données ou sécuriser vos systèmes.
Changez tous vos mots de passe, en commençant par ceux des comptes les plus sensibles comme votre messagerie électronique, votre banque en ligne et vos réseaux sociaux. Optez pour des mots de passe forts et uniques pour chaque compte.
Informez votre entourage de l’attaque pour qu’ils puissent également être vigilants. Les cyberattaques peuvent parfois se propager à travers les réseaux de contacts, il est donc important d’avertir famille, amis et collègues.

En plus de ces mesures, il est recommandé de signaler l’incident sur la plateforme Cybermalveillance.gouv.fr. Ce service national d’assistance aux victimes d’actes de cybermalveillance offre des conseils et des ressources pour réagir efficacement à l’attaque et prévenir de futures menaces.

En suivant ces étapes, vous contribuerez non seulement à sécuriser vos informations personnelles mais aussi à renforcer la lutte contre la cybercriminalité.

Comment prévenir les cyberattaques

Bien qu’il soit impossible de se prémunir totalement contre les cyberattaques, il existe plusieurs mesures à mettre en place pour réduire les risques :

1. Assurez-vous d’utiliser un système de sécurité efficace

Pour protéger votre ordinateur et vos données, installez un logiciel antivirus de qualité et maintenez-le à jour. Veillez aussi à activer un pare-feu et à configurer correctement les options de sécurité de votre navigateur.

2. Mettez à jour régulièrement vos logiciels

Les mises à jour sont essentielles pour corriger les failles de sécurité de vos systèmes informatiques, notamment les systèmes d’exploitation (Windows, MacOS) et les navigateurs Internet. Pensez donc à effectuer les mises à jour dès qu’elles sont disponibles.

3. Soyez vigilant face aux tentatives de phishing

Le phishing est une technique utilisée par les pirates pour tromper les internautes en leur faisant croire qu’ils communiquent avec un site officiel ou une entreprise fiable et obtenir ainsi leurs identifiants et mots de passe. Évitez de cliquer sur les liens suspects dans les emails et apprenez à reconnaître les signes d’un courriel frauduleux. En cas de doute, contactez directement l’entreprise concernée.

4. Adoptez de bonnes pratiques en matière de mots de passe

Utilisez des mots de passe complexes et uniques pour chaque compte que vous possédez (email, réseaux sociaux, sites e-commerce…). Changez-les régulièrement et n’hésitez pas à utiliser un gestionnaire de mots de passe pour vous aider à les mémoriser sans danger.

5. Sensibilisez vos employés ou votre entourage

Dans le cadre professionnel, former et sensibiliser les employés aux risques liés à la cybersécurité est essentiel. Vous pouvez mettre en place des formations internes ou faire appel à des organismes spécialisés. Pour les particuliers, informez-vous sur les dangers qui existent et parlez-en à vos proches.

Face à une cyberattaque, il convient de garder son calme et d’adopter les bons réflexes pour limiter les dégâts. La prévention demeure toutefois la meilleure arme pour se protéger contre ces menaces : mise à jour des systèmes informatiques, vigilance face aux tentatives de phishing, sensibilisation autour de soi… C’est un effort constant et les défis évoluent aussi rapidement que les technologies elles-mêmes. Alors, restons attentifs et mettons en œuvre les bonnes pratiques pour assurer notre sécurité digitale.

L’article Que faire face à une cyberattaque : conseils et bonnes pratiques est apparu en premier sur Recoveo.

Baisse record des paiements ransomware en 2023 : les victimes résistent

fchassignol — Fri, 02 Feb 2024 10:50:17 +0000

Alors que les ransomwares demeurent une menace persistante qui pèse sur les entreprises de toutes envergures, un récent rapport de Coveware apporte une lueur d’espoir. Les résultats dévoilés pour le dernier trimestre de 2023, révèlent que le taux de paiement des rançons a atteint un niveau historiquement bas, chutant à seulement 29%. Cette tendance inédite marque un bouleversement majeur dans la dynamique des attaques par ransomwares et laisse entrevoir des changements significatifs dans les stratégies de défense des entreprises ainsi qu’une prise de conscience accrue des risques et des conséquences liés à ces paiements.

Comprendre la baisse spectaculaire du taux de paiement des rançons

Cette baisse est d’autant plus remarquable si l’on considère que le taux de paiement était autrefois de 85% au début de l’année 2019, avant de chuter à 46% au milieu de l’année 2021. La diminution du taux de paiement des rançons s’explique par plusieurs facteurs clés.

Les entreprises ont renforcé leur préparation face aux cyberattaques, adoptant des mesures de sécurité plus robustes et des plans de réponse aux incidents bien établis. Elles ont appris à se défendre avec détermination, réduisant ainsi la vulnérabilité aux attaques

De plus, la méfiance croissante envers les promesses des cybercriminels de ne pas divulguer les données volées joue un rôle fondamental. Les organisations sont de plus en plus réticentes à croire que payer une rançon garantira la non-divulgation des données volées. La réputation des attaquants en matière de respect de leurs engagements s’est gravement détériorée au fil des années.

La pression légale exercée dans certaines régions a aussi eu un impact majeur sur cette tendance. Dans ces zones, payer une rançon est non seulement risqué, mais également illégal. Cette orientation vers une législation plus stricte fait écho à la décision du sommet CRI de 2023, où 50 pays ont convenu de ne plus payer les rançons, visant à couper les fonds des cybercriminels. Les victimes sont donc dissuadées de céder aux exigences des attaquants, sachant qu’elles pourraient être poursuivies en justice mais cette pratique pose bien des questions.

Le débat sur l'interdiction des paiements de rançon : une nouvelle dimension

La baisse spectaculaire du taux de paiement des rançons, bien que motivée par une meilleure préparation et une méfiance accrue envers les cybercriminels, s’inscrit également dans un contexte plus large de discussions sur l’interdiction des paiements de rançon. Cette question, qui refait surface périodiquement, soulève des débats importants sur la meilleure façon de lutter contre la menace des ransomwares.

Pourquoi envisager une interdiction ?

L’idée d’une interdiction repose sur la conviction qu’elle pourrait minimiser les paiements de rançon et, par conséquent, décourager les cybercriminels de cibler des organisations dans des juridictions spécifiques. Cette approche suggère que toutes les autres politiques, des réglementations fédérales américaines aux directives spécifiques à l’industrie, se sont avérées inefficaces. Une interdiction signalerait une capitulation, admettant une incapacité à se défendre contre la cyberextorsion.

Les implications d’une interdiction

Les premières expériences avec les interdictions de paiement n’ont pas montré de diminution des attaques, soulignant la complexité de la lutte contre les rançongiciels. Une interdiction pourrait également entraîner la création d’un marché illégal pour les services de paiement de rançon, compliquant davantage la situation. Malgré cela, des efforts concertés de prévention, de collaboration avec les forces de l’ordre et de renforcement des défenses des entreprises montrent que la bataille contre les rançongiciels, bien que longue, est peut être gagnée.

Les répercussions sur les paiements et les cibles des cybercriminels

L’étude de Coveware révèle une baisse significative tant dans le nombre de victimes payant une rançon que dans les montants versés, avec un paiement moyen réduit de 33 %, s’établissant à 568 705 dollars au quatrième trimestre de 2023. Cette évolution suggère que les cybercriminels modifient leurs stratégies en réponse à la diminution des paiements, en ciblant désormais des organisations plus petites, potentiellement moins armées pour lutter contre les attaques de rançongiciels. Probablement en raison en raison d’une meilleure préparation et résilience des plus grandes entreprises. Ces organisations plus petites, et peut-être moins équipées pour faire face aux attaques de rançongiciels, deviennent ainsi les nouvelles cibles privilégiées des cybercriminels, cherchant à maintenir leurs revenus malgré la baisse globale du taux de paiement des rançons. Cette adaptation stratégique des attaquants met en évidence l’importance cruciale pour les entreprises, indépendamment de leur taille, de renforcer leurs dispositifs de sécurité et de se préparer de manière proactive face aux menaces de rançongiciels.

Stratégies recommandées pour contrer les ransomwares (rançongiciels)

Pour combattre efficacement les ransomwares, les entreprises doivent adopter une approche proactive, en se concentrant sur les stratégies suivantes :

Encourager le signalement et la transparence : motiver les entreprises à déclarer les incidents de rançongiciels en offrant des incitations telles que des réductions de pénalités et une assistance, tout en rendant ces déclarations obligatoires pour améliorer la collaboration avec les autorités dans la lutte contre ces menaces.
Accentuer la collaboration à long terme avec les forces de l’ordre : établir des obligations de signalement claires et durables pour faciliter des enquêtes efficaces et lutter contre l’impunité des cybercriminels.
Se concentrer sur des mesures stratégiques : diminuer l’attrait des paiements de rançon en privilégiant la prévention et en renforçant les défenses pour réduire la viabilité des rançongiciels comme méthode d’attaque.

Alors que nous commençons 2024, les ransomwares demeurent un défi majeur pour la cybersécurité mondiale. La baisse observée du taux de paiement des rançons indique une tendance positive, prouvant que les efforts concertés pour combattre ce fléau portent leurs fruits. Cela témoigne de l’efficacité croissante des stratégies de défense des entreprises et de la prise de conscience accrue des risques liés aux paiements de rançons. Mais la discussion sur l’interdiction des paiements de rançon ajoute une couche supplémentaire de complexité à la lutte contre les rançongiciels. Elle met en lumière les défis auxquels sont confrontées les organisations et les gouvernements dans leur quête pour trouver les stratégies les plus efficaces contre cette menace persistante. Il est clair que la solution au problème des ransomwares nécessite une approche multifacette, combinant préparation, législation, et collaboration internationale. C’’est seulement en adoptant une approche stratégique et en renforçant la collaboration entre les entreprises et les autorités, qu’il sera possible de réduire significativement l’impact des attaques par rançongiciel et de sécuriser l’avenir numérique des organisations.

L’article Baisse record des paiements ransomware en 2023 : les victimes résistent est apparu en premier sur Recoveo.

L’intégration de la récupération de données dans le PRA : une décision cruciale pour la remédiation post cyberattaque

Christophe vanypre — Tue, 30 Jan 2024 11:55:01 +0000

En matière de gestion des risques, la mise en place d’un Plan de Reprise d’Activité (PRA), aussi appelé Disaster recovery plan (DRP) en anglais, et la préparation à la récupération de données sont indispensables pour assurer la pérennité des entreprises. Pour se prémunir des risques cyber, et plus particulièrement des ransomwares capables de chiffrer des données hautement critiques, les entreprises doivent dorénavant adopter des stratégies de défense robustes et, savoir faire preuve de résilience. Les attaques par ransomware rendent souvent les données d’une organisation inaccessibles avec pour finalité, l’extorsion d’une rançon pour leur déchiffrement. Pour contrer cette menace et assurer une remédiation efficace, l’élaboration d’un PRA intégrant la récupération de données dès l’amont, est indispensable. Cette intégration, réalisée en collaboration avec un laboratoire spécialisé, est un pilier fondamental pour la continuité des opérations en cas d’incident.

Qu'est-ce qu'un Plan de Reprise d'Activité ?

Un Plan de Reprise d’Activité est un ensemble de procédures et de moyens mis en œuvre pour garantir la continuité des activités critiques d’une entreprise en cas de catastrophe ou d’incident majeur affectant les systèmes d’information. L’objectif est d’appliquer rigoureusement les étapes imaginées en de pareilles circonstances. Ce plan vise à minimiser l’impact des perturbations sur les processus métier, ainsi qu’à restaurer rapidement et efficacement les services essentiels pour la survie de l’organisation. Cependant, de nombreuses organisations négligent l’importance de la récupération de données dans leur PRA, pensant que les sécurités mises en place et les backups suffisent à les protéger.

Les objectifs d'un PRA

Le Plan de Reprise d’Activité poursuit plusieurs objectifs :

Réduire les risques liés aux interruptions de service et aux pertes de données en instaurant des mécanismes de prévention et de protection adaptés;
Maintenir la continuité des opérations critiques lors d’un sinistre en identifiant les ressources indispensables et en assurant leur disponibilité;
Optimiser la gestion de crise en définissant les rôles et les responsabilités de chacun, ainsi qu’en établissant un plan de communication interne et externe;
Favoriser le redressement de l’entreprise après l’incident en mettant en place des procédures de reprise et de restauration des activités ordinaires.

Les étapes clés pour élaborer un Plan de Reprise d'Activité

L’élaboration d’un PRA nécessite une démarche méthodique qui permet d’évaluer les risques et de mettre en œuvre des solutions adaptées.

Voici les principales étapes à suivre :

1. Analyser les besoins et les priorités de l’organisation

Avant de concevoir un PRA, il est essentiel de mener une analyse approfondie du fonctionnement de l’entreprise, de ses processus métier, de ses systèmes d’information et de ses exigences réglementaires. Cette phase permet de déterminer les ressources critiques à protéger, ainsi que les niveaux de performance et de disponibilité requis pour chaque activité.

2. Identifier les risques et les menaces potentielles

Les incidents susceptibles d’affecter les systèmes d’information peuvent être d’origine interne ou externe, volontaire ou involontaire. L’inventaire des risques permet de mettre en relief les vulnérabilités de l’organisation et de prioriser les actions à mener pour renforcer le niveau de sécurité.

3. Définir les scénarios d’incident et leurs impacts

Pour chaque risque identifié, il est important d’établir un scénario réaliste qui décrit les conséquences possibles sur les activités de l’entreprise en cas de sinistre. Cette évaluation doit tenir compte du délai maximum tolérable d’interruption (DMTI) et des coûts engendrés par la perte de données ou le ralentissement des opérations.

4. Concevoir des stratégies de prévention et de protection

Une fois les menaces et leurs impacts potentiels évalués, il convient de mettre en place des mesures permettant de minimiser les risques, tels que :

La sauvegarde régulière des données;
La mise à jour et la sécurisation des systèmes informatiques;
La formation des employés au respect des bonnes pratiques en matière de cybersécurité.

5. Développer des procédures de reprise et de restauration

Le cœur du PRA repose sur l’élaboration de procédures qui guident les actions à entreprendre en cas d’incident, comme :

Le basculement sur une infrastructure de secours;
La récupération des données sauvegardées;
La remise en état des équipements endommagés.

Récupération de données : les solutions pour prévenir et réparer les pertes d'information

La perte de données peut constituer un enjeu majeur pour la continuité des activités et l’image de marque de l’entreprise. Il est donc primordial de mettre en œuvre des dispositifs permettant à la fois d’éviter les incidents et de faciliter la récupération des informations en cas de sinistre.

Les moyens de prévention

Pour minimiser les risques de perte de données, plusieurs actions peuvent être entreprises :

Effectuer des sauvegardes régulières sur différents supports (disques durs externes, serveurs dédiés, cloud) et dans des lieux distincts;
Mettre en place une politique de gestion des accès aux systèmes d’information afin de limiter les erreurs humaines et les intrusions malveillantes;
Assurer le maintien des logiciels et du matériel informatique à jour pour réduire les vulnérabilités techniques.

La récupération de données avant une cyberattaques ?

Lorsque l’ensemble des datas présentes sur les backups sont altérées, la récupération de données se révèle souvent être la seule alternative à disposition des décideurs IT. Cependant, en intégrant cette étape fondamentale de la récupération de données dans votre PRA, en amont de l’incident, vous vous assurez que votre entreprise dispose d’un plan exhaustif et efficace pour restaurer rapidement l’accès à vos données en cas de cyberattaque. Cette réflexion indispensable, vous permettra de ne pas passer à côté de solutions techniques supplémentaires, et surtout d’éviter toute action hâtive qui entraveraient ensuite la récupération des données et le rétablissement du système…

Chez Recoveo, nous accueillons encore trop souvent, des organisations qui, espérant repartir très vite en formatant leurs serveurs, s’aperçoivent que la seule alternative possible est de faire appel à un laboratoire spécialisé pour accéder à leurs datas, non sans avoir déjà causé pas mal de problèmes additionnels.

Afin d’éviter ce type de situation, nous pouvons par exemple proposer un clonage bit à bit avec blocage en écriture, ce qui permet de figer la situation sans altérer les supports ni même les éventuelles opérations de Forensic.

Les avantages fondamentaux de la récupération de données :

Minimiser la durée d’indisponibilité : en disposant d’un processus de récupération de données bien défini, vous pouvez réduire le temps d’indisponibilité de vos systèmes, réduisant ainsi l’impact financier et opérationnel.
Réduire les coûts directs : plutôt que de payer une rançon aux cybercriminels, la récupération de données en laboratoire vous permet de restaurer vos datas, au jour de l’attaque, pour un coût très largement inférieur au montant de la rançon, contrairement à la restauration d’un ancien backup qui implique de nombreux jours de travail perdus à ressaisir et à réinstaller.
Protéger votre réputation : une réponse rapide et efficace à une cyberattaque renforce la confiance de vos clients et partenaires, préservant ainsi la réputation de votre entreprise.
Disposer d’une alternative au paiement de la rançon : lorsque l’ensemble des datas sont altérées y compris sur les backups, la récupération de données est le seul moyen d’éviter le paiement de la rançon. N’oublions pas que payer la rançon équivaut à devenir un bon client pour les hackers. Il n’est en effet pas rare, de voir une entreprise rapidement ré-attaquée, après avoir payé. Selon le rapport Hiscox 2022, plus du tiers (36 %) des entreprises qui ont payé une rançon à des cybercriminels ont été ciblées une deuxième fois et 40% ont quand même dû reconstruire leur système !
Réduire le montant de la rançon : lorsque les données ont été capturées par les hackers qui menacent de les diffuser, les actions de récupération de données permettent de réduire la valeur objective de la rançon. En effet, dans ce cas, si la cible attaquée souhaite payer la rançon, elle le fera uniquement pour éviter la diffusion des données, sans devoir demander la clé de décryptage. Cela facilite fortement la négociation du montant de la rançon. Dans tous les cas, les économies réalisées sont bien supérieures au coût d’une récupération de données.

Pour finir à propos de l’intégration de la récupération des données au sein des PRAs, nous déplorons encore bien trop souvent, que cette formidable opportunité s’intègre à la réflexion des décideurs informatiques, seulement après coup, lorsque les dommages se sont déjà produits… Or, si on se reporte à notre expérience de laboratoire, la récupération de données devrait être intimement liée au Plan de Reprise d’Activité, bien en amont, afin d’enrayer le plus possible l’impact d’une cyberattaque et mettre les délinquants en échec.

En vous investissant dans une planification proactive, vous pouvez renforcer considérablement la résilience de votre entreprise

RECOVEO, N° 1 Français de la récupération de données est présent physiquement à Paris (08) et au nord de Lyon (intervention France et International). Chaque semaine, nous facilitons la remédiation de sociétés ou d’organisations victimes d’une cyberattaque, sans paiement de rançon aux hackers, et en garantissant la souveraineté de vos données.

Depuis 2017, notre cellule recherche et développement est active afin de nous permettre de récupérer les données post ransomware sur tout type d’environnement, au sein de nos laboratoires.

Nous collaborons régulièrement avec de nombreux experts en cybersécurité, afin de prioriser les actions et d’optimiser les délais.

L’article L’intégration de la récupération de données dans le PRA : une décision cruciale pour la remédiation post cyberattaque est apparu en premier sur Recoveo.

Double extorsion : le nouveau fléau du rançongiciel

fchassignol — Fri, 12 Jan 2024 14:43:28 +0000

La double extorsion, une évolution redoutable dans l’arsenal des ransomwares, ou rançongiciels en français, pose un défi majeur en matière de cybersécurité. Cette tactique, qui combine le cryptage des données avec la menace de leur publication, intensifie la pression sur les victimes. Cette méthode force les entreprises à jongler entre la restauration de l’accès à leurs fichiers et la prévention de fuites de données confidentielles. Ce phénomène, crucial pour les professionnels de la cybersécurité et les entreprises, nécessite une compréhension approfondie pour élaborer des stratégies de défense efficaces.

Évolution des tactiques de ransomware

Les attaques de ransomware, présentes depuis un certain temps, ont constamment évolué, malgré les efforts considérables des experts en sécurité pour les contrer. Alors que des méthodes ont été développées pour diminuer leur prévalence, les techniques des acteurs malveillants ont progressé au même rythme, continuant ainsi à causer des dommages considérables.

L’émergence de la double extorsion

En 2019, le monde a été témoin d’une nouvelle méthode d’attaque par ransomware : la double extorsion. Cette tactique a été utilisée par le groupe malveillant The Maze, qui a ciblé Allied Universal, une entreprise de sécurité. En guise d’avertissement pour non-conformité, 10 % des données volées à cette entreprise ont été rendues publiques. Le groupe Maze a également exigé une rançon de 3,5 millions de dollars, menaçant de divulguer les 90 % restants des données.

L’escalade en 2020 et au-delà

L’année 2020 a vu l’adhésion de groupes malveillants tels que REvil, Ragnar-locker et Lockbit, rejoignant The Maze dans l’exploitation dévastatrice des entreprises. Plus de 1200 entreprises sont tombées victimes de cette tactique, entraînant des coûts d’environ 20 milliards de dollars en 2021, avec des projections atteignant des centaines de milliards de dollars pour les années à venir. Parmi les entreprises touchées, Cognizant, un important prestataire de services informatiques, a perdu environ 70 millions de dollars à cause de cette attaque, l’une des plus létales de l’histoire.

Un exemple notable en France est celui de Bouygues Construction, victime du ransomware Maze en janvier 2020. Cette attaque a provoqué l’arrêt complet de son système informatique, avec une rançon de 10 millions de dollars exigée par les cybercriminels. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a souligné l’impact potentiel élevé de Maze sur les entreprises, combinant des demandes de rançon élevées avec le risque de divulgation de données internes.

Vers une complexité accrue : la quadruple extorsion

Alors que notre focus reste sur la double extorsion, une tendance alarmante se dessine avec l’émergence de stratégies encore plus complexes, telles que la quadruple extorsion. Cette méthode, qui représente une escalade significative dans les tactiques de ransomware, combine le chantage traditionnel à une attaque par déni de service distribué (DDoS). Cette addition crée une double menace, paralysant non seulement les données de l’entreprise mais menaçant également de perturber ses opérations en ligne. Cela souligne une évolution inquiétante vers des attaques de plus en plus sophistiquées et multidimensionnelles dans le paysage des menaces cybernétiques.

Qu’est-ce que la double extorsion ?

Née de l’évolution des techniques employées par les auteurs de ransomwares, la double extorsion implique non seulement le chiffrement des données de la victime, mais également leur vol et divulgation en cas de non-paiement de la rançon demandée. Dans ce scénario, les cybercriminels menacent ainsi de rendre publiques ou de revendre les données sensibles dérobées si la rançon n’est pas payée.

Comment se protéger contre la double extorsion ?

Pour éviter de tomber victime d’une attaque de double extorsion, il est essentiel de mettre en place des mesures de sécurité adéquates :

Maintenir à jour ses logiciels : la plupart des ransomwares exploitent des vulnérabilités dans les systèmes d’exploitation et les logiciels. Il est donc crucial de veiller à ce que toutes les mises à jour de sécurité soient installées régulièrement.
Former les collaborateurs : les attaques par rançongiciel se propagent souvent grâce au « hameçonnage » (phishing), qui consiste à tromper les internautes pour les amener à divulguer leurs identifiants ou à télécharger des fichiers malveillants. Un programme de formation continue sur les bonnes pratiques en matière de cybersécurité peut grandement contribuer à réduire les risques d’infection.
Réaliser des sauvegardes régulières : disposer d’une copie de sauvegarde actualisée des données stockées sur ordinateur est un élément clé de la prévention contre les ransomwares et permet de récupérer ses fichiers sans avoir à payer de rançon.
Utiliser des solutions de sécurité performantes : outre un antivirus à jour, une solution complète de protection contre les logiciels malveillants incluant une fonctionnalité anti-ransomware peut aider à bloquer les menaces avant qu’elles n’affectent vos fichiers.

Mesures de mitigation contre la double extorsion

Afin de contrer efficacement la menace de la double extorsion, les entreprises doivent adopter une approche de cybersécurité proactive et multicouche :

Politique de confiance zéro : Adoptez une approche de sécurité basée sur le principe de « ne jamais faire confiance, toujours vérifier ». Limitez l’accès aux réseaux et aux données sensibles uniquement aux utilisateurs et dispositifs authentifiés et autorisés. Cela réduit le risque d’accès non autorisé et de mouvements latéraux dans le réseau.
Chiffrement des données : Protégez vos informations contre les accès non autorisés en chiffrant les données sensibles, tant en transit qu’au repos. Le chiffrement rend les données inutilisables pour les attaquants, même s’ils parviennent à les exfiltrer.
Sauvegardes hors ligne : Assurez-vous de disposer de copies de sauvegarde régulières et actualisées, stockées hors ligne ou dans des environnements isolés. Cela garantit la disponibilité de vos données en cas d’attaque et réduit la dépendance à la rançon pour la restauration des données.
Évaluation et correction des vulnérabilités : Menez des audits de sécurité réguliers pour identifier les failles potentielles dans vos systèmes et réseaux. Appliquez rapidement les correctifs et mises à jour de sécurité pour prévenir les exploitations de vulnérabilités par les attaquants.
Surveillance des journaux de données : Mettez en place une surveillance continue des journaux de données pour détecter toute activité suspecte ou anormale. Utilisez des outils d’analyse et de détection des menaces pour identifier rapidement les signes d’une attaque et intervenir avant que les dommages ne soient trop importants.

En intégrant ces mesures de mitigation, les entreprises peuvent renforcer leur posture de sécurité et réduire considérablement les risques associés à la double extorsion, tout en se préparant à répondre efficacement en cas d’attaque.

Les conséquences de la double extorsion pour les entreprises

L’évolution des techniques utilisées par les cybercriminels a des conséquences lourdes pour les organisations. En effet, non seulement elles subissent les conséquences de l’indisponibilité de leurs données et la perte financière associée au versement éventuel d’une rançon, mais elles doivent également faire face aux risques liés à la divulgation de données sensibles, dont :

La violation de la législation sur la protection des données, telle que le Règlement général sur la protection des données (RGPD) en vigueur au sein de l’Union européenne. Les entreprises peuvent ainsi encourir des amendes importantes et voir leur réputation entachée.
La perte de confiance des clients et partenaires, qui pourraient réévaluer leur collaboration avec une organisation victime d’une telle attaque. La fuite d’un plan stratégique ou d’informations commerciales sensibles peut également avoir un impact négatif sur les résultats financiers à long terme de l’entreprise.
Vulnérabilité des associés tiers : Compromission des informations partagées avec des partenaires, comme dans le cas d’Apple Inc. avec Quanta Computer Inc.
L’atteinte à la sécurité nationale, dans le cas où des données volées concernent des infrastructures critiques, telles que les réseaux électriques ou les centrales nucléaires, voire des projets de recherche et développement sensibles.

Face à ces risques, il apparaît primordial pour les entreprises de tous secteurs et de toutes tailles d’investir dans la prévention des menaces liées au ransomware et à la double extorsion, afin de continuer à mener leurs activités en toute sérénité.

L’article Double extorsion : le nouveau fléau du rançongiciel est apparu en premier sur Recoveo.

Lockbit ransomware : un fléau informatique en pleine progression

fchassignol — Fri, 15 Dec 2023 10:10:00 +0000

A notre époque où la digitalisation occupe une place croissante, les cyberattaques se multiplient, et parmi ces menaces, on trouve le tristement célèbre Lockbit ransomware. LockBit représente une menace informatique majeure, ciblant principalement les entreprises et les institutions gouvernementales. Ce logiciel malveillant, connu pour son efficacité redoutable, bloque l’accès aux systèmes informatiques, exigeant une rançon pour leur déblocage. Sa capacité à analyser et à chiffrer automatiquement les systèmes d’un réseau le rend particulièrement dangereux.

Vous êtes-vous déjà demandé comment ces attaques se déroulent et quelles en sont les conséquences ? Si vous cherchez à renforcer votre cybersécurité ou simplement à mieux comprendre ces menaces, vous êtes au bon endroit.

Historique du ransomware Lockbit

Au cours des dernières années, les ransomwares, ou rançongiciels en français, sont devenus l’une des principales menaces pour les utilisateurs et les systèmes informatiques. Et Lockbit , en particulier, a fait beaucoup de bruit depuis son apparition. D’intensité variable, cette menace est capable d’infiltrer et chiffrer les fichiers présents sur un ordinateur ou un réseau, empêchant ainsi leur accès. Comme tout ransomware, il exige ensuite une rançon pour promettre le déblocage des données.

Apparu en septembre 2019 et initialement connu sous le nom de “ABCD” ransomware , le Lockbit ransomware a rapidement évolué pour devenir l’un des groupes de ransomware les plus actifs au monde. Ses premières attaques ont ciblé divers pays, dont les États-Unis, la Chine et plusieurs nations européennes. Elles visent principalement des organisations disposant de fonds importants et susceptibles de payer des rançons conséquentes pour minimiser les perturbations. Les secteurs de la santé et des finances ont particulièrement été visés.

LockBit se distingue par sa capacité à se propager de manière autonome au sein d’un réseau, sans intervention humaine. Il utilise des outils natifs des systèmes Windows, rendant sa détection difficile par les systèmes de sécurité traditionnels.

Méthodes employées par le Lockbit

Infection initiale

Le ransomware Lockbit utilise diverses méthodes pour s’infiltrer au sein des systèmes informatiques de ses victimes. Parmi les techniques les plus courantes, on peut citer :

L’emploi de campagnes de phishing : cette méthode consiste à envoyer des e-mails frauduleux aux utilisateurs, les incitant à communiquer leurs informations personnelles telles que les mots de passe et identifiants.
L’exploitation de failles de sécurité : en ciblant les systèmes informatiques obsolètes ou non protégés, le ransomware peut infecter un ordinateur sans attirer l’attention.
L’installation de logiciels malveillants : certains programmes peuvent contenir des backdoors qui laissent entrer le ransomware dans le système.

Les phases d'attaque et les mécanismes de propagation

Lors d’une attaque de ransomware, plusieurs étapes critiques sont généralement impliquées :

Exploitation : cette phase implique l’utilisation de techniques d’ingénierie sociale ou d’attaques par force brute pour infiltrer un réseau. Les attaquants cherchent des vulnérabilités ou des failles de sécurité pour accéder au système cible.
Infiltration : une fois que l’attaquant a réussi à accéder au réseau, il cherche à obtenir des privilèges élevés et prépare le terrain pour le déploiement du ransomware. Cela peut inclure l’escalade des privilèges et la navigation dans le réseau pour identifier des cibles potentielles.
Déploiement : à cette étape, le ransomware est déployé sur le réseau compromis. Il commence alors à chiffrer les fichiers systèmes et affiche une demande de rançon aux victimes. Les attaquants exigent généralement une rançon en échange de la clé de déchiffrement nécessaire pour restaurer les fichiers.

Ces phases d’attaque et de propagation sont essentielles pour comprendre comment fonctionne une attaque de ransomware telle que LockBit. Chaque étape nécessite une réponse appropriée en matière de cybersécurité pour empêcher ou atténuer les dommages potentiels.

Chiffrement des données

Une fois installé sur un appareil, Lockbit ransomware va commencer à chiffrer les fichiers présents, rendant leur accès impossible. Cela inclut généralement les documents personnels ou professionnels, les images, les vidéos et autres fichiers multimédias, mais aussi les dossiers systèmes indispensables au fonctionnement du système d’exploitation.

Demande de rançon

Après avoir chiffré les données, Lockbit affiche une note de rançon sur l’écran de l’utilisateur. Cette note comprend des instructions pour payer une somme en cryptomonnaie (généralement en Bitcoin), ainsi qu’un délai donné. Si la victime ne paie pas dans ce délai, elle est menacée de voir ses données définitivement détruites ou divulguées sur internet.

Les derniers méfaits de Lockbit ransomware

Le groupe de pirates informatiques de LockBit a récemment fait parler de lui en affirmant détenir environ 500 Go de données de l’avionneur américain Boeing. Cette déclaration a eu lieu le 13 novembre 2023, et malgré cela, Boeing a refusé de verser une rançon pour récupérer ces données sensibles. Les pirates de LockBit ont donc publié les données de Boeing : ils ont ainsi rendu publiques plus de 40 Go de données appartenant à Boeing.

Parmi les plus importantes attaques de cet hiver, LockBit 3.0 a exploité la faille Citrix Bleed pour cibler les entreprises n’ayant pas mis à jour leurs systèmes NetScaler ADC et Gatewa, ce qui a probablement constitué la porte d’entrée pour l’attaque contre Boeing.

Le gang LockBit a également récemment élaboré un ransomware spécifiquement ciblant les Mac M1 d’Apple, élargissant ainsi son champ d’action pour inclure également les utilisateurs de ces appareils.

Ce type d’incident souligne l’importance d’adopter des mesures de sécurité proactive pour protéger les systèmes informatiques contre les attaques de ransomware, comme Lockbit. Vous pouvez en apprendre plus sur les groupes de ransomware sur ce site…

Récupération des données chiffrées par le Lockbit ransomware

Paiement de la rançon : une solution non recommandée

La première option qui vient à l’esprit face à une attaque de Lockbit est généralement de payer la rançon demandée. Toutefois, les experts en cybersécurité déconseillent cette démarche pour plusieurs raisons :

En payant, vous financez directement les activités criminelles des cyberpirates.
Rien ne garantit que vos données seront effectivement déchiffrées après le paiement, ou que les pirates ne reviendront pas pour une nouvelle demande plus tard.

Outils de déchiffrement spécifiques

Dans certains cas, il peut être possible de récupérer ses données grâce à des outils de déchiffrement conçus spécifiquement pour contrer le Lockbit ransomware. Il est tout de même important de noter que ces outils ne sont pas infaillibles et peuvent ne pas fonctionner dans toutes les situations.

Restauration à partir de sauvegardes

Si vous êtes victime du Lockbit ransomware et que vous disposez de sauvegardes récentes de vos données, vous pouvez vous en servir pour rétablir les fichiers sains qui n’ont pas été chiffrés. Cependant, il est capital d’éliminer le logiciel malveillant présent sur votre système avant de procéder à la restauration des données, sous peine de voir ces dernières de nouveau infectées.

En fin de compte, la meilleure protection contre Lockbit ransomware et autres attaques similaires reste l’adoption de mesures préventives : mise à jour régulière des systèmes informatiques, sensibilisation des utilisateurs aux dangers du phishing, sauvegardes périodiques des données importantes, ou encore recours à un antivirus efficace et constamment actualisé.

Les sauvegardes représentent le moyen le plus efficace pour récupérer des données. Il est essentiel de maintenir des sauvegardes régulières, que ce soit quotidiennement ou hebdomadairement, en fonction de l’importance de vos données.

Si vous ne disposez pas de sauvegardes ou si vous avez besoin d’aide pour récupérer vos données compromises, il est recommandé de contacter un service de récupération de données. Le paiement de la rançon ne garantit pas la restitution de vos données et il est fortement recommandé de ne pas la payer. La seule méthode fiable pour assurer la restauration de chaque fichier est de disposer de sauvegardes en bon état. En l’absence de sauvegarde, les services spécialisés dans la récupération de données liées aux ransomwares peuvent vous aider à déchiffrer et à récupérer vos fichiers.

Les experts de Recoveo sont compétents pour restaurer vos fichiers en toute sécurité. N’hésitez pas à contacter nos professionnels disponibles 24/7 pour un service de récupération d’urgence.

L’article Lockbit ransomware : un fléau informatique en pleine progression est apparu en premier sur Recoveo.

Ne pas payer de rançon : un engagement international fort pour lutter contre les ransomwares

fchassignol — Thu, 07 Dec 2023 16:31:45 +0000

En novembre 2023, lors du sommet du Counter Ransomware Initiative (CRI) qui s’est tenu à Washington D.C une cinquantaine de pays se sont engagés à ne plus payer de rançon en cas de cyberattaques. Cette initiative, dirigée principalement par les États-Unis et soutenue par plusieurs pays européens, dont la France, vise à tarir les ressources financières des cybercriminels, considérées comme le moteur principal de leurs activités criminelles. Cette stratégie soulève toutefois des questions sur son efficacité réelle et les défis à relever, notamment en ce qui concerne la protection des entreprises et infrastructures vitales contre ces attaques numériques. Cette décision de ne pas payer les rançons implique une nécessité accrue de renforcer la cybersécurité et de promouvoir une coopération internationale plus efficace pour lutter contre ces cybermenaces.

Une coalition de 50 pays bien décidés à lutter contre le fléau des ransomwares

Face à l’escalade de la cybercriminalité, une coalition internationale de 50 pays a pris une décision révolutionnaire : ne plus céder aux demandes de rançon des cybercriminels. Cette initiative, dirigée par les États-Unis et soutenue par l’Union européenne, vise à affaiblir le phénomène des gang de ransomwares en s’attaquant à leur source principale de financement.

Cet engagement international montre la prise de conscience des gouvernements quant à la menace grandissante des attaques de ransomware et leur impact sur la sécurité nationale et internationale. Il souligne l’importance de la coopération internationale et la nécessité d’une approche unifiée pour faire face aux défis croissants de la sécurité numérique. Cela encourage également une collaboration plus étroite entre les nations pour le partage d’informations, la coordination des efforts de cybersécurité et le développement de stratégies efficaces.

Pourquoi ne doit-on pas payer de rançon ?

Le paiement des rançons a des conséquences néfastes à long terme sur la sécurité numérique et l’économie mondiale. Chaque paiement renforce le modèle économique des cybercriminels et incite à davantage d’attaques. Céder à la demande de rançon crée un cercle vicieux, où les succès passés encouragent de nouvelles attaques, augmentant ainsi la fréquence et la sophistication des ransomwares. L’engagement à ne pas payer les rançons est donc une étape cruciale pour briser ce cycle, décourager les attaques futures et promouvoir une cybersécurité plus robuste à l’échelle mondiale.

D’autre part le paiement de la rançon ne garanti en aucune façon la récupération des données. Les cybercriminels peuvent ne pas fournir la clé de déchiffrement ou peuvent laisser des portes dérobées dans les systèmes affectés.

Comment récupérer vos données sans payer la rançon ?

Bonne nouvelle ! Il est souvent possible de récupérer les données compromises sans céder aux exigences des cybercriminels. Des entreprises spécialisées, telles que Recoveo, offrent des services de récupération de données après une attaque de ransomware. Nos experts utilisent des technologies avancées pour restaurer les fichiers sans que les victimes aient à payer de rançon. Cela diminue l’incitation financière pour les attaquants et réduit la probabilité de futures attaques, tout en permettant aux victimes de regagner l’accès à leurs données précieuses sans renforcer les activités illégales des cybercriminels.

Quelles sont les conséquences du paiement des rançons ?

1. L’encouragement et la prolifération des gangs de ransomware

Chaque rançon payée renforce le modèle économique des cybercriminels, leur permettant d’affiner leurs techniques et d’augmenter la fréquence de leurs attaques. Cette approche crée un cercle vicieux, où le succès d’une attaque en entraîne d’autres.

Anne Neuberg, la conseillère adjointe à la sécurité nationale de l’administration de Joe Biden, a ainsi déclaré lors de ce sommet : » Tant qu’il y aura de l’argent pour les auteurs de ransomwares, le problème continuera de s’aggraver”

2. L’impact économique et la sécurité globale

Le paiement des rançons a un impact profond sur l’économie et la sécurité numérique globale. Outre les coûts immédiats, cela entraîne des perturbations opérationnelles et affecte la réputation des entreprises, contribuant à l’augmentation des primes d’assurance contre les cyberattaques.

Quelles stratégies alternatives pour contrer les ransomwares ?

1. Le renforcement de la cybersécurité

Investir dans des systèmes de sécurité robustes est devenu indispensable. Cela inclut la mise en place de logiciels antivirus avancés, des pare-feux, et des systèmes de détection et de réponse aux incidents. La sensibilisation et la formation des employés jouent un rôle tout aussi essentiel, les informant sur les meilleures pratiques pour identifier et éviter les menaces potentielles, car une grande partie des cyberattaques réussissent à cause d’erreurs humaines.

2. La formation continue et la sensibilisation des entreprises à la cybersécurité

Une sensibilisation et une formation continue des employés sont essentielles pour maintenir une défense efficace contre les menaces que représentent les ransomwares. Cela implique de les former régulièrement sur les dernières tactiques utilisées par les cybercriminels et sur la manière de détecter des activités suspectes. Les entreprises doivent également promouvoir une culture de la sécurité numérique, où la cybersécurité est considérée comme une responsabilité partagée.

3. Une coopération internationale

Cette coopération internationale est vitale pour échanger des renseignements sur les menaces et développer des stratégies communes. Elle permet d’élaborer des réponses coordonnées aux incidents et de soutenir les efforts de lutte contre la cybercriminalité à une échelle plus large. Une approche collaborative peut inclure des exercices conjoints de cybersécurité et l’échange d’expertise pour renforcer la résilience face à ces menaces en constante évolution.

On peut noter qu’à ce titre il a été décidé lors de ce sommet de mettre en place deux plateformes dédiées au partage d’informations, De plus, un projet a été initié pour renforcer la traçabilité des actifs criminels en cryptomonnaies, accompagné de la diffusion d’une liste noire de portefeuilles crypto par le Département du Trésor des États-Unis.

Pour plus de détails voir le communiqué officiel de la Maison Blanche.

Quels sont les défis posés par cette décision ?

Bien que la décision de ne pas payer les rançons soit stratégique, elle soulève plusieurs défis, notamment en ce qui concerne sa mise en œuvre et les risques pour les entreprises affectées. Harmoniser une politique commune contre les paiements de rançon nécessite une coordination complexe entre les pays, avec des défis juridiques et réglementaires. De plus, les entreprises qui subissent des attaques de ransomware sont confrontées à des décisions difficiles, notamment la perte potentielle de données essentielles et l’impact sur leurs opérations. Ces défis soulignent la nécessité d’une approche équilibrée qui tienne compte des réalités pratiques et de la sécurité internationale.

Combattre efficacement les ransomwares avec Recoveo

Chez Recoveo, nous comprenons l’importance vitale de protéger les entreprises et les particuliers contre la menace croissante des ransomwares. Il est essentiel d’adopter des pratiques de sécurité informatique rigoureuses, notamment en effectuant des sauvegardes régulières.

En cas d’attaque par ransomware, il est impératif de ne pas céder au chantage des cybercriminels. Payer la rançon ne garantit pas la récupération des données ! Les techniciens de Recoveo ont rencontré de nombreuses réussites dans la récupération des données attaquées par des ransomwares . Notre équipe est engagée à aider les victimes à surmonter cette épreuve en leur permettant de reprendre leur activité dans les meilleures conditions possibles.

Pour toute assistance en matière de récupération de données après une attaque de ransomware, n’hésitez pas à nous contacter dès que possible pour maximiser vos chances de récupérer vos données précieuses.

L’article Ne pas payer de rançon : un engagement international fort pour lutter contre les ransomwares est apparu en premier sur Recoveo.

Qu’est-ce qu’un ransomware ? Définition d’un ransomware

fchassignol — Fri, 17 Nov 2023 14:13:28 +0000

Aujourd’hui, plongeons dans le monde souvent intimidant des ransomwares. Vous avez peut-être entendu ce terme, mais savez-vous vraiment ce que c’est ? Un ransomware est un type de logiciel malveillant qui prend en otage des données ou des systèmes informatiques. En gros, les cybercriminels bloquent l’accès à vos fichiers jusqu’à ce que vous payiez une rançon. Effrayant, non ?

Les ransomwares ou rançongiciels sont devenus l’un des principaux fléaux informatiques ces dernières années. Ils ont causé d’énormes perturbations pour les entreprises, les institutions publiques et les particuliers confrontés à ce type d’attaque.

Mais pourquoi s’intéresser spécialement aux ransomwares ? Eh bien, avec l’augmentation de notre dépendance au numérique, ces attaques deviennent plus fréquentes et plus sophistiquées. En France, par exemple, les entreprises et les organisations publiques ont été régulièrement ciblées, causant des dommages importants. Il est donc crucial de comprendre cette menace pour mieux s’en protéger.

De la définition du ransomware, à ses différents types ainsi que quelques exemples d’attaques marquantes en France, explorons donc les multiples aspects de cette cybermenace.

Ransomware : définition et principes de base

Un ransomware, également appelé rançongiciel en français, est un logiciel malveillant qui infiltre les systèmes informatiques et chiffre les fichiers des utilisateurs ou bloque l’accès à ceux-ci. Une fois les données prises en otage, les pirates exigent le versement d’une rançon, généralement en cryptomonnaie, pour déchiffrer ou déverrouiller les fichiers. Ces infections peuvent se propager par le biais d’emails piégés, de liens malveillants, de téléchargements frauduleux ou par l’exploitation de failles de sécurité dans les réseaux.

Les différents types de ransomwares, sont classés selon leur mode de propagation, leur méthode de chiffrement ou encore leur cible :

Les ransomwares cryptographiques : ils chiffrent vos fichiers et demandent une rançon pour déchiffrer et récupérer vos données. Ils utilisent des algorithmes de chiffrement forts pour prendre en otage les fichiers et rendre leur accès impossible sans la clé de déchiffrement.
Les ransomwares par blocage : ces malwares bloquent l’accès à votre ordinateur ou votre système informatique et exigent une rançon pour le déverrouiller. Par exemple, ils peuvent afficher un message d’alerte indiquant que votre ordinateur a été verrouillé pour cause d’activités illégales et exiger le paiement pour rétablir l’accès.
Les « doxware » : ce sont des ransomwares qui menacent non seulement de chiffrer les fichiers, mais aussi de divulguer publiquement des informations sensibles volées lors de l’infection. Les pirates exploitent ainsi la peur de la mauvaise publicité et de la violation de confidentialité pour forcer le versement de la rançon.
Les ransomwares mobiles : spécialement conçus pour infecter les smartphones et tablettes, ils ciblent généralement les appareils Android et opèrent souvent sous la forme d’applications malveillantes infiltrées dans les magasins d’applications.

Quel que soit le type de ransomware utilisé, les conséquences pour les victimes sont souvent lourdes, tant sur le plan financier qu’en termes de perte de données et de temps.

Comment les ransomwares infectent-ils les systèmes ?

Les ransomwares peuvent infiltrer les systèmes de plusieurs manières, souvent sans que nous en ayons conscience. L’une des plus courantes est le phishing, où les victimes sont trompées pour qu’elles ouvrent des pièces jointes ou cliquent sur des liens malveillants. Une autre méthode répandue est l’exploitation de vulnérabilités logicielles non corrigées. Comprendre ces méthodes d’infection est un enjeu de taille pour renforcer nos défenses contre ces attaques malveillantes.

Voici les canaux les plus courants par lesquels les ransomwares infectent les systèmes, mettant en lumière la nécessité d’une vigilance constante et d’une cybersécurité proactive.

Phishing par email : les attaquants envoient des emails contenant des liens ou des pièces jointes malveillants. Lorsque l’utilisateur clique sur le lien ou ouvre la pièce jointe, le ransomware est téléchargé sur son système.
Exploitation de vulnérabilités logicielles : les ransomwares peuvent exploiter des failles de sécurité dans des logiciels non mis à jour pour s’infiltrer dans un système.
Drive-by download ou téléchargement furtif : ce type d’infection se produit lorsque les utilisateurs visitent un site web compromis qui télécharge automatiquement le ransomware sur leur appareil.
Réseaux de publicité compromis : les ransomwares peuvent être dissimulés dans des publicités malveillantes affichées sur des sites web légitimes.
Attaques de réseau : les cybercriminels utilisent des techniques comme le brute force pour accéder à des réseaux d’entreprise, puis y déploient le ransomware.
Clés USB et autres supports de stockage amovibles : les ransomwares peuvent être dissimulés sur des supports de stockage amovibles. Lorsque ces dispositifs sont connectés à un ordinateur, le ransomware est installé.
Messages instantanés et réseaux sociaux : des liens ou fichiers malveillants sont partagés via des plateformes de messagerie instantanée ou de réseaux sociaux.
Réseaux P2P et torrents : le téléchargement de fichiers depuis des réseaux peer-to-peer ou des sites de torrents peut également être une source d’infection par ransomware.
Téléchargements de logiciels frauduleux : télécharger des logiciels depuis des sources non officielles ou non vérifiées peut conduire à l’installation d’un ransomware.
Pièces jointes dans les SMS ou MMS : des messages textes ou multimédias contenant des liens ou des fichiers malveillants peuvent également être une méthode d’infection.

Comment se passe une attaque de ransomware ?

Une attaque de ransomware n’est pas un événement soudain, mais plutôt un processus en plusieurs étapes, chacune jouant un rôle clé dans le succès de l’attaque. Mieux comprendre ces étapes est essentiel pour anticiper et contrer efficacement ces menaces. De l’infiltration initiale à l’exigence finale de rançon, chaque phase de l’attaque de ransomware a ses particularités.

Infiltration : le ransomware pénètre dans le système, souvent par phishing, exploitation de vulnérabilités, ou autres vecteurs d’attaque, comme nous venons de le voir précédemment.
Installation : une fois à l’intérieur du système, le ransomware s’installe discrètement, établissant un accès persistant pour l’attaquant.
Propagation : le ransomware se propage dans le réseau, cherchant à infecter autant d’ordinateurs et de serveurs que possible.
Chiffrement des données : les fichiers importants sont cryptés, les rendant inaccessibles à l’utilisateur ou à l’organisation.
Suppression des sauvegardes : le ransomware tente souvent de supprimer ou de corrompre les sauvegardes pour empêcher la restauration des données.
Exfiltration de données : dans certains cas, les attaquants copient des données sensibles avant le chiffrement, les utilisant comme levier supplémentaire.
Demande de rançon : l’attaquant envoie une demande de rançon, avec des instructions sur comment payer pour déchiffrer les fichiers.
Communication avec les victimes : les attaquants peuvent fournir un moyen de communication, comme un chat ou un e-mail, pour négocier la rançon.
Déchiffrement (ou non) : si la rançon est payée, les attaquants peuvent fournir une clé de déchiffrement. Cependant, il n’y a aucune garantie que les fichiers seront récupérés.
Prolongation de l’attaque : parfois, même après le paiement de la rançon, les attaquants peuvent laisser des portes dérobées ouverts pour de futures attaques.

L’Agence nationale pour la sécurité des systèmes d’information (ANSSI) a publié en 2020 un guide essentiel intitulé « Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident » Ce document est une ressource précieuse pour toute personne ou organisation souhaitant comprendre et se préparer contre les risques croissants posés par les ransomwares.

Ce guide détaille des stratégies préventives efficaces et offre des conseils sur la manière de réagir en cas d’incident de ransomware. Il s’agit d’une lecture incontournable pour ceux qui cherchent à renforcer leur cybersécurité et à mieux comprendre la nature changeante de ces menaces numériques. Si vous voulez approfondir votre compréhension des enjeux liés aux ransomwares, nous ne pouvons que vous encourager à le télécharger et à le lire.

Comment se protéger contre les ransomwares ?

La meilleure façon de lutter contre les ransomwares est la prévention. Voici quelques mesures à prendre pour éviter ou limiter les conséquences de ce type d’attaque :

Mettez régulièrement à jour vos logiciels et systèmes d’exploitation pour corriger les failles de sécurité éventuelles.
N’utilisez pas de mots de passe trop simples pour protéger l’accès à vos comptes et équipements. Veillez également à ne pas utiliser le même mot de passe pour différents services.
Faites des sauvegardes régulières de vos données essentielles sur des supports non connectés au réseau (disques durs externes, clés USB…) afin de pouvoir les récupérer en cas d’attaque.
Soyez vigilant aux emails suspects, et ne cliquez pas sur des liens ou téléchargez des pièces jointes dont vous n’êtes pas certains de la provenance.
Installez une solution antivirus à jour et activez régulièrement des analyses complètes de votre système pour détecter d’éventuelles infections.

Enfin, si vous êtes victime d’un ransomware, ne cédez pas automatiquement à la demande de rançon : contactez les autorités compétentes ou faites appel à un spécialiste en cybersécurité pour essayer de trouver une solution sans enrichir les cybercriminels. Pour plus d’informations vous pouvez lire notre article consacré aux mesures à prendre en cas de ransomware.

Comment récupérer vos données en cas d’attaque de ransomware ?

Chez Recoveo, nous avons observé de nombreuses situations où des particuliers et des entreprises se retrouvent désemparés suite à une attaque de ransomware. Perdre l’accès à vos données précieuses peut être dévastateur, mais il existe des moyens de les récupérer sans céder aux exigences des cybercriminels. Voici quelques étapes essentielles à suivre en cas d’attaque de ransomware pour maximiser vos chances de récupérer vos données.

Ne payez pas la rançon : payer la rançon ne garantit pas la récupération des données et encourage les attaquants à continuer leurs activités malveillantes.
Déconnectez immédiatement les appareils infectés : pour éviter la propagation du ransomware, déconnectez immédiatement l’appareil infecté d’Internet et de tout réseau d’entreprise.
Identifiez la variante de ransomware : utilisez des outils en ligne ou consultez un expert pour identifier la variante spécifique du ransomware, cela peut aider à trouver des solutions de décryptage existantes.
Vérifiez les outils de décryptage disponibles : certains organismes de sécurité informatique développent des outils de décryptage pour des variantes spécifiques de ransomware.
Restaurez à partir des sauvegardes : si vous avez des sauvegardes régulières et non affectées, vous pouvez restaurer vos fichiers à partir de celles-ci.
Consultez des professionnels de la récupération de données : si vous ne pouvez pas récupérer les données par vous-même, il est conseillé de faire appel à des professionnels.
Signalez l’attaque aux autorités : informez les autorités compétentes de l’attaque, car cela peut aider à la lutte globale contre les ransomwares.
Renforcez votre sécurité informatique : après une attaque, prenez des mesures pour renforcer votre sécurité et éviter les futures infections.

Nous avons constaté que les systèmes de stockage qui nous sont confiés sont souvent manipulés dans la panique suite à l’attaque. Or, ces supports peuvent contenir des données qui n’ont pas été détruites et sont très sensibles aux réécritures.

Nous avons souhaité partager notre retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement de stockage dans le cadre d’une infection par ransomware.

Vous pouvez télécharger gratuitement notre livre blanc « 10 conseils pour récupérer ses données suite à une cyberattaque par ransomware ».

Chez Recoveo, nous comprenons à quel point vos données sont importantes, que vous soyez un particulier ou une entreprise. Notre équipe d’experts est là pour vous aider à récupérer vos données après une attaque de ransomware. Nous utilisons des technologies avancées et des méthodes éprouvées pour maximiser les chances de récupération de vos données sans compromettre leur sécurité. N’hésitez pas à nous contacter pour bénéficier de notre assistance et expertise en cas de besoin.

Et pour finir voici quelques exemples d'attaques marquantes de ransomwares en France

Les victimes du ransomware WannaCry

En 2017, le ransomware WannaCry a déferlé sur le monde entier et touché de nombreuses organisations dans plus de 150 pays. La France n’a pas été épargnée : en effet, des entreprises françaises ont fait partie des cibles touchées par cette cyberattaque de grande ampleur, notamment l’opérateur télécoms Canalsat et d’autres acteurs des médias.

Le cas de la chaîne M6

En octobre 2019, la chaîne de télévision française M6 a été la cible d’un ransomware qui a perturbé ses activités internes pendant plusieurs jours. L’attaque a notamment eu un impact sur les serveurs informatiques chargés de la production des contenus, mais également sur l’accès aux emails des collaborateurs de la chaîne. Malgré l’incident, M6 a assuré que la protection des données personnelles des téléspectateurs et clients n’avait pas été compromise.

L'attaque contre Sopra Steria

En octobre 2020, l’entreprise française spécialisée dans les services numériques Sopra Steria a été victime d’une attaque par ransomware. Les systèmes informatiques de l’entreprise ont été infectés et chiffrés par le malware Ryuk, ce qui a entraîné une interruption de l’activité de plusieurs jours pour certains de ses services. La situation a finalement été rétablie sans versement de rançon grâce à la capacité de l’entreprise à remettre en service ses systèmes informatiques et réseaux dans un temps record.

FAQs, définition d'un ransomware

Qu’est-ce qu’un ransomware ? Un ransomware est un type de logiciel malveillant qui bloque l’accès à des données ou à un système informatique jusqu’à ce qu’une rançon soit payée.
Comment prévenir une attaque de ransomware ? Utilisez un logiciel antivirus de qualité, effectuez des sauvegardes régulières et soyez vigilant face aux tentatives de phishing et autres tactiques d’ingénierie sociale.
Faut-il payer la rançon en cas d’attaque de ransomware ? Non, payer la rançon ne garantit pas la récupération des données et encourage les cybercriminels.
Comment les ransomwares se propagent-ils ? Ils se propagent souvent par le biais de phishing, d’exploitation de vulnérabilités logicielles, et d’autres méthodes d’ingénierie sociale.
Quelles sont les conséquences d’une attaque de ransomware ? Les conséquences peuvent inclure la perte d’accès aux données importantes, des perturbations opérationnelles, et des dommages financiers et de réputation.

L’article Qu’est-ce qu’un ransomware ? Définition d’un ransomware est apparu en premier sur Recoveo.

L’ingénierie sociale : comprendre et anticiper les techniques de manipulation employées par les cybercriminels

fchassignol — Mon, 23 Oct 2023 10:19:58 +0000

L’ingénierie sociale désigne l’ensemble des tactiques de manipulation psychologique qui visent à persuader une personne de fournir des informations sensibles ou d’exécuter des actions spécifiques. Les cybercriminels utilisent souvent ce type de méthode pour infiltrer des systèmes informatiques, obtenir frauduleusement des données personnelles et contourner des mesures de sécurité. Explorons ensemble les principales stratégies d’ingénierie sociale, et comment les particuliers, tout comme les entreprises et les organisations peuvent se prémunir contre ces attaques.

Stratégies d’ingénierie sociale employées par les cybercriminels

Thème du Cybermoi/s 2023, l’ingénierie sociale ne cesse de prendre de l’ampleur. Bien que chaque situation soit unique, on peut identifier plusieurs grandes catégories de méthodes d’ingénierie sociale utilisées par les hackers malintentionnés. Voici quelques exemples des techniques employées :

La mystification

Cette technique consiste à se faire passer pour une personne de confiance (par exemple, un représentant du service clientèle d’une banque, un donneur d’ordre au sein de l’entreprise…) afin de soutirer des renseignements personnels ou financiers. Le cybercriminel exploite la crédulité et la peur de sa victime en se faisant passer pour une autorité légitime.

Le phishing ou hameçonnage

Le phishing est une forme d’escroquerie dans laquelle le fraudeur se fait passer pour une institution réputée (comme une banque ou une entreprise) en envoyant des courriels contenant un lien vers un site web frauduleux. L’objectif est d’amener les victimes à saisir leurs identifiants de connexion, numéros de carte de crédit ou autres informations sensibles sur ce site trompeur.

Le pretexting

Ici, l’escroc invente un scénario crédible pour obtenir des renseignements personnels auprès de sa victime. Par exemple, il pourrait se présenter comme un enquêteur et dire qu’il travaille sur une affaire concernant un vol d’identité, demandant ainsi des informations personnelles pour vérifier l’identité de la victime.

Quels sont les buts d’une attaque d’ingénierie sociale ?

Que vous soyez un particulier, ou une entreprise, nul n’est à l’abri de telle attaques, les cybercriminels ne manquent pas imagination pour vous détrousser !

Vol d’informations personnelles : L’un des principaux objectifs est d’obtenir vos informations personnelles, comme votre nom, adresse, date de naissance, etc. Ces informations peuvent être utilisées pour commettre des fraudes en votre nom.
Accès à vos finances : En obtenant des détails comme vos identifiants bancaires ou les numéros de vos cartes de crédit, les cybercriminels peuvent effectuer des transactions frauduleuses, vider vos comptes ou contracter des dettes en votre nom.
Prise de contrôle de vos appareils : En vous trompant pour installer un logiciel malveillant, ils peuvent prendre le contrôle de votre ordinateur, smartphone ou tout autre appareil connecté. Cela leur donne un accès direct à vos données et à vos activités en ligne.
Demande de rançon : Certains cybercriminels utilisent l’ingénierie sociale pour introduire un ransomware dans votre système. C’est un type de logiciel malveillant qui « verrouille » vos fichiers et demande une rançon pour les « déverrouiller ».
Espionnage : Dans certains cas, l’objectif peut être d’espionner une entreprise ou une personne pour obtenir des informations sensibles ou confidentielles.

Quelles peuvent être les conséquences d’une attaque d’ingénierie sociale ?

Pertes Financières : Si un cybercriminel accède à vos comptes bancaires ou cartes de crédit, vous pourriez subir des pertes financières importantes.
Atteinte à la réputation : Si des informations sensibles ou personnelles sont divulguées, cela peut nuire à votre réputation ou à celle de votre entreprise.
Perte de données : Les données stockées sur vos appareils peuvent être supprimées, volées ou rendues inaccessibles.
Stress et anxiété : Être victime d’une cyberattaque peut être une expérience traumatisante, causant du stress, de l’anxiété et une perte de confiance envers les technologies.
Coûts de récupération : Après une attaque, vous pourriez avoir besoin de services professionnels pour récupérer vos données, nettoyer vos systèmes ou renforcer votre sécurité.

Comment se protéger contre les méthodes d’ingénierie sociale ?

La sensibilisation et l’éducation sont les premières étapes pour se prémunir contre les attaques d’ingénierie sociale. Voici quelques conseils pour vous protéger vous-même et vos systèmes informatiques :

Ne divulguez pas d’informations personnelles aux inconnus

Soyez vigilant lorsqu’on vous demande des renseignements personnels ou confidentiels par e-mail, téléphone ou tout autre moyen de communication. Méfiez-vous des urgences et des menaces, qui sont souvent utilisées pour inciter les gens à fournir des informations rapidement et sans réfléchir.

Vérifiez l’authenticité des sources

Avant de répondre à une requête d’information, assurez-vous que la personne avec qui vous communiquez est bien celle qu’elle prétend être. Vérifiez les adresses e-mail, les numéros de téléphone et les noms d’entreprise, et n’hésitez pas à contacter directement l’organisation en question pour confirmer la demande.

Faites preuve de scepticisme

Adoptez une attitude critique face aux sollicitations inattendues et demandez-vous toujours quelles sont les véritables motivations de la personne qui vous contacte. Si une offre ou une proposition vous semble trop belle pour être vraie, il y a fort à parier qu’elle cache quelque chose de suspect.

Mettez en place des politiques de sécurité strictes au sein de votre entreprise

Les entreprises et les organisations doivent mettre en œuvre des politiques de sécurité claires, incluant des protocoles pour signaler les tentatives d’ingénierie sociale et pour prévenir le partage non autorisé d’informations sensibles. Il est également crucial de former les employés sur ces procédures, afin qu’ils puissent identifier rapidement les signes d’une potentielle attaque.

La vigilance : un atout essentiel pour contrer les techniques d’ingénierie sociale

L’ingénierie sociale est une menace insidieuse contre la sécurité informatique et la protection des données personnelles. Néanmoins, en adoptant une attitude vigilante et en mettant en place des mesures de sécurité adaptées, il est tout à fait possible de limiter les risques et de se prémunir contre les manipulations malveillantes.

Investir dans la formation

La connaissance et la sensibilisation aux méthodes d’ingénierie sociale sont essentielles pour lutter efficacement contre ces attaques. Investir dans la formation de vos employés, ainsi que vous-même, est donc un choix judicieux. Plus les individus seront conscients des pièges à éviter, plus ils seront à même de détecter une tentative de manipulation et d’agir en conséquence.

Continuer de se tenir informé

Les tactiques d’ingénierie sociale évoluent sans cesse, et il est important de rester au fait des nouvelles menaces afin d’être toujours préparé à y faire face. En restant informé, vous pourrez adapter et renforcer vos systèmes de sécurité, ce qui rendra la tâche beaucoup plus ardue pour les cybercriminels qui cherchent à profiter de votre vulnérabilité.

Que faire en cas de blocage de ses données par un ransomware ?

L’ingénierie sociale est une arme puissante dans l’arsenal des cybercriminels. Bien que les méthodes varient, l’objectif est souvent le même : exploiter la confiance et les émotions humaines pour accéder à des informations précieuses. En étant conscient des risques et en restant vigilant, nous pouvons tous réduire notre vulnérabilité face à ces menaces.

Pourtant malgré toutes les précautions que vous pourriez prendre, nul n’est à l’abri d’une attaque de ransomware. Si vous vous retrouvez dans la situation délicate où vos données sont prises en otage, ne désespérez pas. Il existe des entreprises spécialisées dans la récupération de données, comme Recoveo, nous pouvons vous venir en aide. Nos experts disposent d’outils et de techniques avancées pour tenter de restaurer vos précieuses informations. Avant de payer une rançon ou de prendre des mesures hâtives, pensez à nous consulter. Notre expertise pourrait bien être la clé pour retrouver vos données intactes.

L’article L’ingénierie sociale : comprendre et anticiper les techniques de manipulation employées par les cybercriminels est apparu en premier sur Recoveo.

Que faire en cas d’attaque de ransomware, qui contacter ?

fchassignol — Wed, 18 Oct 2023 14:00:55 +0000

Une attaque de ransomware peut paralyser une entreprise. Vos fichiers sont cryptés, et une rançon est exigée. Imaginez ceci : Vous sirotez votre café du matin et allumez votre ordinateur. Au lieu de votre bureau habituel, un message menaçant vous demande de payer pour déverrouiller vos fichiers. La panique s’installe. Que faire ? Qui contacter ?

Avant de céder à la panique, il est essentiel de connaître les démarches à suivre et les contacts à solliciter en France. Suivez notre guide pour vous aider à réagir dans cette situation délicate.

Comprendre le ransomware

Avant toute chose il est important de comprendre ce qu’est un ransomware et son mode de fonctionnement.

Qu'est-ce qu’un ransomware ?

Le ransomware est un type de logiciel malveillant qui chiffre les fichiers d’une victime. L’attaquant exige ensuite une rançon de la victime pour restaurer l’accès aux données après paiement. Pensez-y comme à un kidnappeur numérique qui retient vos fichiers en otage.

Comment fonctionne un ransomware ?

C’est un programme sournois. Il peut généralement pénétrer votre système via un e-mail de phishing ou en exploitant des vulnérabilités logicielles. Une fois à l’intérieur de votre système, il chiffre vos fichiers, les rendant inaccessibles. Puis vient la demande de rançon, généralement sous forme de cryptomonnaies comme le Bitcoin.

Les mesures immédiates à prendre en cas d’attaque de ransomware

1. Déconnectez-vous du réseau

Tout d’abord, débranchez ! Déconnectez votre appareil d’Internet et de tout autre réseau. Cela peut empêcher le ransomware de se propager à d’autres appareils ou systèmes.

2. Préservez les preuves

Respirez profondément et prenez une photo ou une capture d’écran de la demande de rançon. Cela peut être crucial pour les enquêtes et pour comprendre le type de ransomware auquel vous avez affaire.

3. Ne payez pas la rançon

C’est tentant, mais ne le faites pas ! Payer la rançon ne garantit pas que vous récupérerez vos fichiers. De plus, cela finance et encourage ces cybercriminels à poursuivre leurs activités néfastes.

Qui contacter en cas d’attaque de ransomware ?

1. Contactez un expert en cybersécurité et en récupération de données

Envisagez de contacter des entreprises ou des experts en cybersécurité. Ils pourraient avoir des outils ou des méthodes pour vous aider à récupérer vos données ou à atténuer les dégâts. Un professionnel tel que Recoveo peut évaluer l’ampleur de l’attaque et vous guider dans les étapes de récupération.

2. Signalez l’incident aux autorités

En France, les entreprises doivent signaler ce type d’incident au CERT (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques). Cette démarche est essentielle pour aider les autorités à traquer les cybercriminels.

Signalement à la police : En cas d’attaque, il est crucial de déposer une plainte auprès de la police. Cela permettra d’initier une enquête et de potentiellement retrouver les auteurs. Ils pourraient aussi éventuellement avoir des informations ou des enquêtes en cours liées à votre cas.
Contactez le CERT : Le Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques est l’entité à contacter pour signaler l’incident et obtenir de l’aide.
Contactez l’ANSSI (Agence nationale de la sécurité des systèmes d’information) : L’ANSSI est votre agence de référence pour tout ce qui concerne la cybersécurité en France. Ils peuvent fournir des conseils, un soutien et des ressources lors de tels incidents.
Contactez la CNIL en cas de violation des données personnelles : La CNIL doit être notifiée dans les meilleurs délais dès qu’une violation des données personnelles a été constatée suite à l’attaque cybercriminelle.
Informez vos partenaires et clients : Si des données sensibles ont été compromises, il est de votre responsabilité d’informer toutes les parties concernées.

Que faire ensuite pour contrer l’attaque du ransomware ?

1. Restaurez à partir d’une sauvegarde

Si vous avez des sauvegardes à jour, utilisez-les pour restaurer vos fichiers après avoir vérifié qu’elles ne sont pas infectées. Il est souvent préférable de faire appel à des spécialistes qui sauraont déterminer si vos sauvegardes sont saines. Il est en effet possible que l’attaque ait été dormante pendant quelques temps avant que les pirates décident de la propager. Depuis 2019, Recoveo a rejoint la Fédération Française de la Cybersécurité et nos experts peuvent vous accompagner et favoriser la reprise de votre activité dans les plus brefs délais.

2. Renforcez votre sécurité

Une fois l’attaque gérée, il est temps de renforcer vos mesures de sécurité pour prévenir de futures attaques.

Mesures préventives pour l'avenir

Sauvegardes régulières : Mieux vaut prévenir que guérir. Sauvegardez régulièrement vos données, à la fois hors ligne et dans le cloud. Ainsi, même en cas d’attaque, vous pourrez restaurer vos fichiers sans trop de tracas.
Mettez à jour et patchez régulièrement : Gardez vos logiciels et systèmes à jour. Les cybercriminels exploitent souvent des vulnérabilités connues, donc rester à jour peut vous donner une longueur d’avance.
Éduquez vos employés : Si vous dirigez une entreprise, il est essentiel de former vos employés.
Reconnaître les e-mails de phishing : Apprenez-leur à repérer les e-mails suspects. Un seul clic sur un lien malveillant peut être catastrophique.
Habitudes de navigation sûres : Promouvez des habitudes de navigation sûres. Évitez les sites web douteux et ne téléchargez jamais de fichiers provenant de sources non fiables.

Face à une attaque de ransomware, il est essentiel de rester calme et de suivre les étapes appropriées pour minimiser les dégâts. N’oubliez pas que la prévention est la meilleure défense : maintenez vos systèmes à jour, soyez vigilant et sauvegardez régulièrement vos données. Si vous êtes victime, n’hésitez pas à contacter les experts et les autorités compétentes.

Pour plus de conseils sur la préservation de vos données, téléchargez notre livre blanc

Nous avons constaté que les systèmes de stockage qui nous sont confiés sont souvent manipulés dans la panique suite à l’attaque. Or, ces supports peuvent contenir des données qui n’ont pas été détruites et sont très sensibles aux réécritures. Nous avons souhaité partager notre retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement de stockage dans le cadre d’une infection par ransomware.

Vous pouvez télécharger gratuitement notre livre blanc « 10 conseils pour récupérer ses données suite à une cyberattaque par ransomware ».

L’article Que faire en cas d’attaque de ransomware, qui contacter ? est apparu en premier sur Recoveo.

Ransomware, comment s’en débarasser ?

fchassignol — Tue, 17 Oct 2023 09:08:10 +0000

Les ransomwares sont une forme de malware qui empêche les utilisateurs d’accéder à leurs fichiers ou à leur appareil, puis leur demande un paiement en ligne anonyme pour restaurer l’accès. Ces cyberattaques, en progression constante, s’accompagnent fréquemment d’action complémentaires comme l’ingénierie sociale, pour viser encore plus efficacement les entreprises, et les administrations.

Nous comprenons que faire face à une attaque de ransomware peut être une expérience stressante et difficile.

Recoveo propose des solutions de récupération de données conçues spécifiquement pour vous aider à récupérer vos données tout en minimisant l’impact de l’attaque.

Si vous êtes victime d’une attaque par ransomware, il est important de prendre des mesures immédiates pour minimiser les dommages et récupérer vos données. On vous rappelle tous les éléments clés pour garder la tête froide et avoir les bons réflexes…

Quels sont les signes infaillibles d’infection par ransomware ?

Voici quelques signes qui peuvent indiquer une infection par ransomware :

Des fichiers chiffrés

Les fichiers de l’utilisateur sont souvent chiffrés et leur extension de fichier est modifiée avec une forme personnalisée. Si vous constatez que vos fichiers ont été renommés avec une extension inhabituelle ou que vous ne pouvez plus les ouvrir, il est possible que vous soyez infecté.

Des messages de rançon

Des messages de rançon s’affichent sur l’écran de l’utilisateur, exigeant un paiement en échange de la clé de déchiffrement. Ces messages peuvent également contenir des menaces ou des avertissements.

Un ralentissement du système

Les performances du système ralentissent considérablement en raison de l’utilisation intensive des ressources informatiques. Si votre ordinateur est plus lent que d’habitude ou si vous constatez une utilisation élevée du processeur ou du disque dur, il est possible que vous fassiez effectivement l’objet d’une attaque.

Des fenêtres pop-up apparaissent

Des fenêtres pop-up contenant des messages d’erreur ou des avertissements apparaissent. Ces fenêtres peuvent être difficiles à fermer et revenir fréquemment.

Une modification des fichiers système

Enfin, les ransomwares peuvent modifier les fichiers système pour empêcher l’utilisateur d’accéder à certaines fonctionnalités ou pour empêcher la suppression du malware.

Quelles sont les solutions post-infection ?

Si votre système informatique a été corrompu, voici quelques solutions qui peuvent être mises en place :

Contacter un expert en récupération de données

Si vos données ont été chiffrées ou endommagées, nous vous conseillons vivement de faire appel à un expert en récupération de données, comme Recoveo, qui dispose de l’expérience et des outils nécessaires pour restaurer vos fichiers. Recoveo propose une intervention rapide et efficace, sans payer la rançon, et garantit la confidentialité de vos données.

Voici un aperçu des actions que nous pouvons effectuer :

Réparer les dommages structurels causés par le chiffrement aux fichiers critiques tels que les disques virtuels, les fichiers de sauvegarde et les bases de données.

Inverser les dommages causés par l’acteur de la menace en utilisant ou en modifiant les décrypteurs.

Réparer les fichiers corrompus après le décryptage.

Récupérer d’anciennes versions ou d’autres versions des données qui n’ont pas été affectées

Rechercher récupérer des sources de données alternatives, telles que les bandes magnétiques et les ressources dans le Cloud.

Isoler les systèmes infectés

Pour éviter que le ransomware ne se propage à d’autres systèmes ou réseaux, il est important d’isoler les systèmes infectés en les déconnectant d’Internet et des autres périphériques. Il faut également éviter de redémarrer ou d’éteindre les systèmes infectés, car cela pourrait compliquer la récupération des données. Gardez bien à l’esprit qu’isoler ne veut pas dire débrancher !

Analyser les systèmes infectés

Pour identifier le type de ransomware et ses caractéristiques, il faut analyser les systèmes infectés avec un logiciel antivirus ou antimalware à jour. Il existe également des sites web qui peuvent aider à identifier le ransomware en fonction du message de rançon ou de l’extension des fichiers chiffrés

Comprendre l’étendue de l’infection

Déterminez quels fichiers, appareils ou systèmes ont été touchés, ainsi que la souche de ransomware en question. Ces informations peuvent vous aider à déterminer le meilleur plan d’action pour votre rétablissement.

Conserver les preuves

Conservez une copie de la demande de rançon, des courriels suspects ou des pièces jointes, ainsi que tout autre élément lié à l’attaque. Ces éléments pourraient aider les professionnels de la cybersécurité ou les forces de l’ordre dans leur enquête et leurs efforts de rétablissement.

Restaurer les données à partir des sauvegardes

Si vous disposez de sauvegardes récentes et fiables de vos données, vous pouvez essayer de les restaurer sur des systèmes sains. Il faut toutefois s’assurer que les sauvegardes n’ont pas été compromises et qu’elles sont compatibles avec les systèmes cibles. Il faut également vérifier que les données restaurées sont intactes et fonctionnelles. Notre expertise en récupération de données vous sera bien utile à ce stade pour éviter toute manipulation irréversible.

Faire appel à un expert en récupération de données

Si vos sauvegardes sont insuffisantes ou inexistantes, vous pouvez faire appel à un expert en récupération de données, comme Recoveo, qui dispose de l’expérience et des outils nécessaires pour restaurer vos fichiers sans payer la rançon. Recoveo propose une intervention rapide et efficace, et garantit la confidentialité de vos données. Nos expert vous permettront d’avoir une vision claire des options à votre disposition.

Les solutions préventives

La meilleure façon de se protéger contre les ransomwares est de prendre des mesures préventives pour éviter l’infection.

Voici quelques solutions pratiques pour se protéger contre les ransomwares :

Mettre à jour régulièrement ses logiciels et systèmes d’exploitation :
Les ransomwares exploitent souvent des vulnérabilités dans les logiciels et les systèmes d’exploitation obsolètes. En mettant à jour
régulièrement vos logiciels et votre système d’exploitation, vous pouvez réduire considérablement les risques d’une infection.
Sauvegarder régulièrement ses données importantes sur un support externe ou dans le cloud :
En sauvegardant régulièrement vos données importantes sur un support externe ou dans le cloud, vous pouvez minimiser les pertes de données en cas d’infection par ransomware.
Éviter de cliquer sur des liens ou des pièces jointes suspects provenant d’expéditeurs inconnus ou non fiables :
Les ransomwares sont souvent distribués via des spams malveillants (malspams) qui contiennent des liens ou des pièces jointes infectés.
Évitez de cliquer sur des liens ou des pièces jointes suspects provenant d’expéditeurs inconnus ou non fiables.
Utiliser un logiciel antivirus et antimalware à jour : Les logiciels antivirus et antimalware peuvent détecter et bloquer les ransomwares avant qu’ils n’infectent votre système.

Pour conclure

Les ransomwares sont une menace sérieuse pour les entreprises et les particuliers. Il est donc essentiel de se protéger en adoptant des bonnes pratiques de sécurité informatique et en effectuant des sauvegardes régulières.

En cas d’infection, il ne faut pas céder au chantage des cybercriminels. Comme pour un enlèvement, les cybercriminels, risquent de ne pas tenir parole… Tentez plutôt de récupérer vos données par des moyens légaux et fiables.

Recoveo est votre partenaire de confiance pour vous aider à surmonter cette épreuve et à reprendre votre activité dans les meilleures conditions. Contactez-nous le plus tôt possible afin de conserver toutes vos chances de récupérer vos données.

L’article Ransomware, comment s’en débarasser ? est apparu en premier sur Recoveo.

Retex#2 / Ransomwares de Juillet

btaillandier — Thu, 27 Jul 2023 13:49:10 +0000

Une entreprise spécialisée dans l’industrie du bois, deux autres dans l’alimentaire, un cabinet de conseil, une mairie, un équipementier automobile, etc. En ce début d’été, les cyberattaques sont plus intenses que jamais et nos sauvetages encore plus nombreux !

Nos interventions sont aussi diverses et variées que les groupes d’attaquants. Du traitement de serveurs Dell, HP, ou Lenovo, à la réparation de fichiers de sauvegardes corrompus Veeam, Acronis, ou Altaro, en passant par le rétablissement d’accès à des bases de données SQL, des PST, et des machines virtuelles… nos experts n’ont pas le temps de s’ennuyer cet été.

Nous sommes intervenus sur des infections de Lockbit 2.0 et Lockbit 3.0, Play, MedusaLocker et Faust. Plusieurs méthodologies différentes, mais toujours des solutions trouvées par nos experts !

100% de ces cas ont abouti à une récupération de données. Ces succès ont contribué à une reprise d’activité rapide des entreprises et administrations impactées, en limitant les dommages liés aux cyberattaques.

L’article Retex#2 / Ransomwares de Juillet est apparu en premier sur Recoveo.

Guide pour récupérer vos données après une attaque de ransomware

fchassignol — Thu, 06 Jul 2023 13:35:09 +0000

Parmi les nombreux logiciels malveillants, le ransomware est l’un des pires pour une entreprise. Le but d’un ransomware est de chiffrer vos fichiers pour vous en interdire l’accès. Dès lors, le pirate qui l’a installé dans votre système n’a plus qu’à vous demander une rançon en échange de leur déchiffrement. Comment alors récupérer l’accès à vos données céder au chantage ?

Découvrez les différentes solutions qui existent pour vous sortir de cette situation.

Qu'est-ce qu'un ransomware

Il s’agit d’un logiciel malveillant qui infecte votre système informatique. Il s’y introduit généralement via des pièces jointes, des liens malveillants ou des sites web compromis. Dès son installation, il chiffre vos données importantes comme des documents, des photos, des vidéos et autres fichiers essentiels. Une fois le chiffrement réalisé, les pirates informatiques exigent le paiement d’une rançon pour vous fournir la clé de déchiffrement de vos fichiers. La majeure partie du temps, ils demandent un paiement en cryptomonnaie.

Les risques associés au paiement de la rançon

Le paiement de la rançon ne garantit absolument pas la récupération de l’accès à vos données. Les cybercriminels peuvent parfaitement ne pas vous fournir de clé de déchiffrement. S’ils le font, vous n’avez aucune garantie qu’elle fonctionne correctement. De plus, en cédant aux exigences, vous alimentez leurs activités illégales et leur donner les moyens de pirater d’autres entreprises.

Comment récupérer vos données sans céder aux pirates

Si vous prenez la sage décision de ne pas payer la rançon, vous devez envisager d’autres solutions pour récupérer vos données. Voyons les différentes possibilités qui s’offrent à vous.

1. Identifiez le ransomware utilisé par les cybercriminels

La solution adaptée à votre problème dépend du type de ransomware qui a infecté votre système. Un certain nombre de sites web proposent des outils pour identifier les ransomware. Ils analysent les messages affichés par le virus ou examinent les extensions de fichiers chiffrés. Vous aurez besoin de ces informations pour trouver les outils capables de déchiffrer vos fichiers.

2.Recherchez et utilisez l'outil de déchiffrement adapté

Internet regorge d’outils de déchiffrement gratuits pour vous attaquer aux différents types de ransomware. Recherchez l’outil correspondant à votre situation et tentez de déchiffrer vos fichiers grâce à lui. Attention, ces outils ne garantissent pas une récupération totale de vos données. Certains peuvent même endommager à vos fichiers, comme si ce qui vous arrive ne suffisait pas.

3.Restaurez les données à partir d'une sauvegarde

Si vous effectuez des sauvegardes régulières de vos données, vous n’aurez pas besoin d’essayer de retrouver l’accès à vos fichiers. Il vous suffira de restaurer vos fichiers à partir de votre dernière sauvegarde, après avoir vérifié son intégrité.

Assurez-vous qu’elle n’a pas été corrompue ou infectée par le ransomware elle aussi. Pensez à nettoyer votre système afin d’éliminer tout logiciel malveillant et tout nouveau risque avant de restaurer vos données.

4.Utilisez un logiciel de récupération de données

Un logiciel de récupération de données peut vous permettre de retrouver certains fichiers après une attaque par un ransomware. Il s’agit d’un outil capable de scanner votre disque dur à la recherche de traces des fichiers chiffrés. Il pourra ensuite tenter de les récupérer dans leur état d’origine. Cette solution ne garantit néanmoins pas une récupération complète. De plus, elle peut présenter un certain nombre de risques en cas d’utilisation sur des fichiers encore chiffrés.

Comment prévenir les attaques de ransomware

Éviter de subir les conséquences d’un ransomware est parfaitement possible, à condition de respecter de bonnes pratiques en matière de sécurité informatique.

Maintenez votre système et vos logiciels à jour

Effectuez régulièrement toutes les mises à jour de sécurité. Elles sont cruciales pour protéger système informatique contre les menaces de toutes sortes. Installez donc régulièrement les correctifs et les mises à jour proposés par le fournisseur de votre système d’exploitation et les éditeurs des logiciels que vous utilisez.

Utilisez un antivirus performant et à jour

Un antivirus performant est un élément essentiel pour vous protéger contre les ransomwares et autres logiciels malveillants. Vérifiez que le paramétrage de votre logiciel antivirus lui permette d’actualiser automatiquement sa base de données, mais aussi de scanner régulièrement votre système à la recherche de virus.

Sauvegardez régulièrement de vos données

Votre meilleure assurance en cas d’attaque de ransomware est d’avoir à votre disposition une sauvegarde récente de vos données. Ce conseil est d’ailleurs valable pour la plupart des problèmes que vous pouvez rencontrer en informatique.

Sauvegardez régulièrement vos fichiers et données importants. Pour être serein, effectuez au moins deux sauvegardes identiques, l’une sur un support externe, l’autre dans le cloud ou sur un serveur distant.

Ne faites pas n'importe quoi sur le web

La majorité des experts en cybersécurité le disent, 90 % des cyberattaques sont dues à une erreur ou un comportement humain inadéquat. Limiter au maximum le risque d’intrusion dans votre système, implique de :

N’ouvrez une pièce jointe d’un expéditeur inconnu
Ne cliquez jamais sur des liens provenant d’une source inconnue
Ne connectez jamais à votre ordinateur un support externe non vérifié
Faites attention aux sites que vous visitez
Utilisez des mots de passe forts et ne les communiquez pas

Le simple respect de ces règles de base limite déjà considérablement l’accès à votre système informatique pour les cybercriminels.

Aucune méthode ne garantit une récupération totale de vos données après une attaque de ransomware. Des solutions existent pour vous aider à retrouver vos fichiers sans payer de rançon, mais le mieux reste de tout faire pour se prémunir d’une attaque et avoir une solution de secours en cas de besoin.

L’article Guide pour récupérer vos données après une attaque de ransomware est apparu en premier sur Recoveo.

Retex#1 / Ransomwares de Janvier

Floriane De Tommaso — Tue, 21 Feb 2023 09:56:40 +0000

Une entreprise de logiciels pour l’industrie en Dordogne a subi une cyberattaque. Toutes les données sont chiffrées par le ransomware Play.

Nous recevons un serveur Dell contenant 6 disques durs SAS et 6 SSD.
Nous constatons le cryptage de tous les fichiers à l’intérieur de toutes les machines virtuelles. Les fichiers de backup (vmdk) sont effacés.

La récupération des données par entête donne un résultat médiocre : absence d’arborescence et de nom de fichier valide. Nous optons donc pour une autre solution qui nous permettra d’obtenir 1000 Gigas de données valides avec une arborescence de fichier impeccable.

Finalement, les données prioritaires sont récupérées.
L’entreprise a pu reprendre son activité sous 1 semaine.

L’article Retex#1 / Ransomwares de Janvier est apparu en premier sur Recoveo.

Ransomware Lockbit 3.0 : episode 2 !

btaillandier — Thu, 12 Jan 2023 15:37:54 +0000

Ransomware Lockbit 3.0 : encore une réussite !

Après le succès de Novembre suite à l’infection d’une PME du nord, les hackers de Lockbit ne s’arrêtent pas !

Cette fois-ci, c’est une société mixte du sud de la France qui est paralysée par une cyberattaque.
Elle affiche sur son site web « nous subissons une cyberattaque qui affecte notre téléphonie et nos outils informatiques”.
L’ensemble de ses serveurs ont été chiffrés par le ransomware Lockbit 3.0

Il s’agit ici d’une architecture très classique comprenant un serveur principal et un serveur de sauvegarde. Tout est stocké sur un NAS QNAP de 7 disques. Nos équipes reçoivent la demande par téléphone juste avant les fêtes de Noël.

Serveur de sauvegarde blanchi, serveur de production crypté...

Le premier diagnostic confirme les informations du client : les serveurs sont chiffrés par Lockbit 3.0. Nous recevons cette fois le serveur de backup en premier.

Après plusieurs heures de recherche, les équipes constatent que les hackers ont pris soin de tout effacer avec la volonté qu’aucune récupération ne soit possible.

Nous recevons donc dans un second temps le serveur principal contenant également tous les fichiers chiffrés.

Nos équipes commencent par analyser les machines virtuelles VHDX. Nous essayons plusieurs outils du marché mais aucun ne fonctionne. Nous devons procéder à un traitement manuel des fichiers.

Un résultat inespéré !

Finalement, 11 machines virtuelles sur 13 sont récupérées.

Les deux machines irrécupérables n’étaient présentes que sur le serveur de sauvegarde.

Par soucis de sécurité, ils nous demandent d’extraire le contenu des fichiers .vhdx puisqu’ils ont peur que les machines virtuelles soient infectées.

Nous réussissons à récupérer ainsi 85 % des données, dont les prioritaires !

L’entreprise a pu accélérer sa reprise d’activité et passer de bonnes fêtes.

L’article Ransomware Lockbit 3.0 : episode 2 ! est apparu en premier sur Recoveo.

Récupérer des données après une attaque par le ransomware Dagon

btaillandier — Mon, 19 Dec 2022 17:32:07 +0000

Retour sur le traitement réussi du ransomware Dagon

Un spécialiste de l’aéronautique dans le Sud Ouest de la France nous contacte après la demande de rançon du ransomware Dagon. L’entreprise refuse de payer la rançon. Retour en quelques lignes sur cette nouvelle réussite technique unique.

Contexte de l'attaque

Nous recevons un appel le 8 novembre pour une demande afin de récupérer les données d’une entreprise à l’arrêt suite à la destruction de son SI. Le client n’ayant pas de solution de réparation pour accéder au serveur ou de réintégration proposée par le support HP, malgré le paiement d’un niveau de support supplémentaire.

Après avoir échangé avec le client sur les modalités d’intervention, Recoveo a dès lors mobilisé une équipe dédiée qui s’est déplacée dans la banlieue toulousaine pour intervenir au cœur du datacenter incriminé.

Les bons réflexes qui ont favorisé la récupération des données

En parallèle de nos actions, le groupe a créé une cellule de crise pilotée par le DSI, avec une salle et des équipements dédiés afin de pouvoir donner les instructions aux différents sites dans le monde.
La Direction Générale a choisi de protéger cette équipe en interdisant aux différents sites de joindre cette équipe dans le but de limiter au maximum les interruptions par des appels répétitifs et les préserver de toute “sur-pression”.
De même, les membres de l’équipe ont des consignes strictes : dormir au minimum 6 heures par nuit, ne pas travailler le samedi après-midi et le dimanche et prendre un jour de repos si le besoin s’en fait ressentir. Ce afin de garder une équipe opérationnelle capable de prendre les bonnes décisions tout en minimisant le risque de burn-out.
Même si certains faits sont remontés au sein de cette cellule (pression de certains tiers), ces règles strictes ont permis à l’équipe de restée soudée et d’être efficace.
L’objectif étant de laisser cette équipe travailler de manière hermétique en créant “une bulle” afin qu’ils aient suffisamment de recul pour prendre les bonnes décisions. Par exemple, en prenant la décision de ne pas se précipiter et de tenter de restaurer des backups défectueux sur les serveurs infectés, mais de plutôt sécuriser les disques importants en les copiant avant toute tentative.

Processus technique suivi par nos équipes

Comme le serveur a déjà été arrêté par le client, la première étape consiste d’abord à sécuriser notre intervention, en réalisant l’acquisition forensique en copiant en bas niveaux tous les disques impactés sur des clones. Nous avons réalisé cette opération grâce à nos propres serveurs et disques déplacés pour l’occasion.

Sur place, nous avons vérifié le degré de chiffrement et son impact sur l’intégrité des backups Veeam. Certains contenus ont été chiffrés, d’autre n’ont pas été impactés grâce à la réactivité de l’équipe technique du client qui a interrompu le processus de chiffrement.

- Comme le matériel sur place ne le permettait pas et pour maximiser la vitesse de traitement des fichiers prioritaires, décision en accord avec le client, nous avons réalisé l’extraction dans notre laboratoire principal de Roanne, sur un support supportant des taux de transferts très élevés. Ceci afin de permettre une reprise d’activité encore plus rapide.

Dès le retour en pleine nuit dans nos locaux, les experts Recoveo ont procédé à l’extraction des fichiers Veeam Backup contenant les machines virtuelles qui contiennent elles-mêmes les base de données nécessaire au fonctionnement de l’entreprise.

L’envoi du NAS contenant les priorités est expédié en urgence chez le client. Le 12 novembre, l’entreprise redémarrait ainsi progressivement son système informatique.

Comme une plainte a été déposée, les clones sont conservés plus longtemps (que nos autres cas de récupération de données plus classiques) dans la possibilité d’examens forensiques par les forces de l’ordre. Si vous souhaitez plus d’informations techniques, nous vous conseillons la lecture de notre article sur notre site dédié aux experts.

L’article Récupérer des données après une attaque par le ransomware Dagon est apparu en premier sur Recoveo.

Ransomware Lockbit 3.0 : la solution Recoveo !

btaillandier — Tue, 13 Dec 2022 08:12:50 +0000

Ransomware Lockbit 3.0 : récupérer ses données sans payer la rançon !

Vous rencontrez un problème suite au chiffrement de vos données par Lockbit dans sa dernière version ? Des fichiers qui comportent l’extension HLjkNskOq ou 19MqZqZ0s ? Vous n’accédez plus à vos documents et une demande de rançon comme l’image suivante est apparue ?

Ce sont autant de preuves d’un chiffrement par le virus Lockbit, largement utilisé par les groupes de hackers, comme bl00dy par exemple. Ne paniquez pas, vous n’êtes pas seul(s) : Thalès a subi une infection par Lockbit 3.0 récemment tout comme d’autres entreprises et surtout, nos experts peuvent vous aider à reprendre votre activité rapidement.

3 serveurs dont 2 NAS synology chiffrés par Lockbit 3 !

Le dernier cas en date, c’est celui d’une entreprise du nord de la France qui a subi l’infection et qui nous a contactés. L’ensemble de ses serveurs ont été chiffrés par Lockbit 3.0. Il s’agit ici d’une architecture comprenant un serveur de production et deux NAS Synology de sauvegarde. Le serveur de production contrôlait une ligne de fabrication, qui est à l’arrêt suite à l’attaque. L’un des NAS de sauvegarde est complètement plein (26,3Tb sur 27Tb) et tout est détruit par l’attaque, d’autant que le serveur de production a été réinstallé entre-temps par le client ! Pour nos experts, c’est une très mauvaise nouvelle, car cela réduit considérablement les chances de récupération.

Nos équipes reçoivent la demande par téléphone le 2 novembre et nous mobilisons immédiatement la cellule d’astreinte étant donné que le client est bloqué dans son activité.

Serveurs de production infectés malgré les systèmes de sauvegardes

Nous recevons l’ensemble des serveurs dans la soirée suite à la mise en place d’un transport express pour rapatrier le matériel depuis le nord de la France vers notre laboratoire principal. Le premier diagnostic confirme les informations du client : les deux serveurs de sauvegardes sont chiffrés par Lockbit 3.0 depuis le 1er Novembre. Le système Extend 4 et les documents du clients sont complètement illisibles. Malgré les moyens de back ups mise en place, ils se retrouvent sans rien et pourtant : ils disposaient d’un système redondant composé des 2 serveurs de sauvegardes + un système sous Veeam Backup et des liaisons simples via R-sync classique. Mais rien n’a résisté à Lockbit 3.0 et tout est/paraît détruit.

La solution : réparation des fichiers Veam Backup

Nos équipes commencent donc par rétablir les accès bas niveau au système, afin d’accéder aux fichiers de sauvegardes ainsi qu’aux machines virtuelles que recherchent le client. Nous procédons ainsi à l’extraction, puis à la réparation des fichiers .VBK (Format de sauvegarde Veam Back Up). Le chiffrement à partiellement endommagé ces derniers et nous avons développé un outil sur mesure pour rétablir leur intégrité.

Retour et reprise d'activité

Alors qu’ils pensaient avoir tout perdu, nous réussissons à rendre valides certaines sauvegardes, notamment du mois en cours ! Nous procédons ensuite à l’examen des machines virtuelles Flat/Esxi. Après plusieurs heures de travail, nos experts sont formels : nous avons retrouvé l’ensemble des données prioritaires, au travers de sauvegardes du 4, du 9 et du 31 Octobre. Le client aura perdu moins de 2 jours d’activité et surtout récupéré plusieurs dizaines d’années de travail.

Au final, nous avons permis à cette société de reprendre son activité très rapidement en retrouvant puis en réparant le fichier de sauvegarde .VBK de 2Tb le plus récent et le plus important; et ce, malgré l’infection Lockbit 3.0 ! Nous avions déjà réussi des infections Lockbit dans sa version 2.0, désormais le 3.0 n’a plus de secrets pour nos experts.

Des données inaccessibles à cause d’un ransomware ? des fichiers de sauvegardes corrompus ? Contactez-nous, nous pouvons sûrement vous aider !

L’article Ransomware Lockbit 3.0 : la solution Recoveo ! est apparu en premier sur Recoveo.