Un ransomware peut-il infecter votre sauvegarde ?

Securite, sauvegarde, cyberattaque

Auteur : Chloé

15 novembre 2019

Il n’y a rien de pire que d’avoir une sauvegarde et malgré tout d’être frappé par un ransomware… Peuvent-ils les infecter voire même les détruire ?

Au vu de la constante augmentation d’attaques de type ransomware, même des solutions de sauvegarde classiques peuvent échouer. Il est important de savoir que, si cela devait impacter votre entreprise, les conséquences pourraient être néfastes pour votre activité.

Comment le ransomware peut-il attaquer la sauvegarde ? 

Il y a quelques années, un administrateur système a appelé notre ligne d’assistance technique. Sa société avait souffert d’une attaque par un ransomware, qui a rapidement encodé les fichiers sur le poste de la victime.

Il est donc intervenu pour aider à isoler l’ordinateur, l’a redémarré dans un environnement de récupération puis à neutralisé le logiciel malveillants. Après plusieurs tests, le poste a été redémarré et reconfiguré par clé usb les données non cryptées. Au moment de brancher la clé, le ransomware est revenu et a commencé à crypter la sauvegarde.

Voir notre dernier article : Sauvegarde - 3 conseils pour la valoriser

La sauvegarde n’est pas une garantie contre les ransomwares

Les ransomware peuvent donc infecter et corrompre tout fichier connecté à la machine infectée, que ce soit localement ou via un réseau.

Ceci était un exemple d’une des manières les plus courantes de cryptage de fichiers de sauvegarde. 

Cet incident soulève de nombreuses questions :

  • Quelles erreurs a-t-il commises ? Qu’aurait-il dû faire ?
  • Comment d’autres ransomwares peuvent-ils infecter votre sauvegarde ?
  • L’infection de quelqu’un d’autre par un logiciel malveillant peut-elle m’affecter ?

La sauvegarde peut-elle échouer ? 

Il existe évidemment des situations où les sauvegardes peuvent échouer : erreur de l’utilisateur, pannes silencieuses, pannes matérielles, …
Mais quand il s’agit de crypto ransomware, il y a aussi de nombreuses situations où les sauvegardes peuvent être inutiles.
Avec le recul, il est évident que l’une des principales erreurs de l’administrateur est qu’il a trop fait confiance à l’outil de suppression des logiciels malveillants.

Bonnes pratiques :
1. Effectuer des sauvegardes, et avoir une copie des données « air grapped »
2. Isoler l’ordinateur en cas d’infection

Mauvaises pratiques :
1. Faire confiance à l’outil de suppression des logiciels malveillants
2. Brancher une sauvegarde sur une machine précédemment infectée

L’infection cachée de l’intérieur

La destruction de ransomware à l’intérieur des sauvegardes est un problème tout aussi grave, avec des conséquences similaires.

Il est bien connu que le ransomware ne se contente pas de crypter les fichiers sur la machine infectée localement, mais recherche également les partages réseaux connectés et encode les fichiers sur ces partages. C’est précisément ainsi que les sauvegardes de serveurs d’une entreprise peuvent être infectées par des données sabotées.

Voici un exemple qui est courant dans les entreprises de services professionnels tels que les cabinets comptables et juridiques.

Une jeune entreprise utilise un serveur de fichier suite. Plusieurs postes de travail se connectent à ce serveur de fichiers et les employés utilisent un disque partagé pour stocker leurs données.
Les sauvegardes d’images sont effectuées sur ce serveur de fichiers, sauvegardant l’ensemble de la machine.
L’un des postes de travail est alors infecté par un ransomware. Ce dernier n’agit pas de suite mais attend la fin de la journée, pour commencer à crypter les fichiers sur le serveur une fois tout le monde partie.

Le problème : la prochaine fois que la sauvegarde s’exécutera sur le serveur de fichiers, la sauvegarde contiendra des fichiers cryptés.

Comment le ransomware rend la sauvegarde inutile ?

Ce scénario pose des problèmes particuliers qui peuvent rendre la sauvegarde entière inutile :

  • La plupart des logiciels de sauvegarde conservent consciencieusement ce qu’on leur dit de sauvegarder. Ils ne reconnaissent pas les données corrompues.
  • Si la taille de la menace est conséquente, cela peut signifier que tous les historiques des sauvegardes sont automatiquement supprimés car le stockage de la sauvegarde n’a pas assez de place.

Normalement, les systèmes tels que les programmes de sauvegarde intégrés dans Windows et Macs conservent autant d’historiques de sauvegarde que possible, supprimant les anciennes versions si nécessaire. Mais comme les logiciels malveillants peuvent infecter de grandes quantités de données très rapidement, la prochaine sauvegarde incrémentielle sera considérable et peut déplacer toutes les historiques de sauvegarde.

A noter que les données cryptées ne se compressent pas. Ainsi, si votre logiciel de sauvegarde utilise la compression, vous constaterez que les sauvegardes de données infectées occupent généralement deux fois plus d’espace que les données réelles, ce qui remplace les anciennes sauvegardes par des déchets.
Cela laisse la victime dans la situation où les sauvegardes sont inutiles. 

La sauvegarde victime de l’infection de quelqu’un d’autre…

Même si vous n’avez peut-être pas été détourné par un ransomware, il y a de fortes chances que vous connaissiez quelqu’un qui l’a été, et cela peut poser problème. 

Aujourd’hui, nous vivons dans un monde interconnecté. Nous utilisons des outils de synchronisation de fichiers comme OneDrive (qui est même intégré à Windows) et Dropbox, qui se synchronise automatiquement entre le cloud et votre disque dur.

Si vous utilisez un tel outil de synchronisation de fichiers au sein d’un groupe d’amis ou de collègues ou si un membre de ce groupe est infecté par un logiciel de rançon, les copies de ses fichiers seront cryptées. Leur application de synchronisation de fichiers téléchargera ensuite les copies de fichiers cryptés dans le cloud. Votre application de synchronisation de fichiers synchronisera ensuite ces copies de déchets du cloud vers votre ordinateur. La prochaine fois que vous sauvegarderez, vous aurez des déchets dans vos sauvegardes au lieu des fichiers d’origine.

Il existe parfois des moyens de récupérer les fichiers d’origine (certaines versions premium proposent une version historique étendu des fichiers). Cependant, il est souvent difficile et long de restaurer de grands ensembles de données, comme vous le feriez si vous restauriez à partir de la sauvegarde.

Quelles solutions existent pour préserver les sauvegardes ?

Les sauvegardes doivent être fiables. En 2016, le logiciel de sauvegarde jouait désormais un rôle différent de celui qu’il jouait traditionnellement, en mettant beaucoup plus l’accent sur la résilience à la cybercriminalité.

Les anciens risques de perte de données :

  • Catastrophe naturelle
  • Feu
  • Vol
  • Sabotage d’employés
  • Vol de disque dur 

Les nouveaux risques de perte de données :

  • Ransomware
  • Piratage
  • Compte compromis

Innovation 1 : la protection

Sachant que le seul but d’une sauvegarde est de permettre une restauration, la priorité absolue est de s’assurer que la sauvegarde reste intacte et ne soit pas corrompue de l’extérieur.

Cela amène à développer un logiciel qui protégerait la sauvegarde contre tout accès non autorisé. Le test de ce composant s’est avéré un succès, car nous avons pu bloquer l’accès à la sauvegarde à partir de toutes les souches de ransomware que nous pouvions lui lancer.

Innovation 2 : la détection précoce

La deuxième partie du puzzle consiste à s’assurer que seuls les fichiers de données légitimes sont sauvegardés. C’est-à-dire à s’assurer que la sauvegarde ne soit pas corrompue de l’intérieur.

Détecter la présence de fichiers cryptés par un ransomware dans les sources semblait facile au début (en s’appuyant sur des connaissances informatiques). Par définition, les fichiers cryptés devraient être indétectables. Les mêmes tests mathématiques qui déterminent si un générateur de nombres aléatoires est sécurisé, devraient également déterminer si un fichier est crypté.

Cependant, bien que cela semble très bien en théorie, en pratique, ce n’est pas très efficace pour détecter une menace. Nous avons constaté que de nombreux ransomwares produisaient en fait des fichiers dont l’entropie n’était pas si élevée.

Il y a bien sûr d’autres signes que nous pouvons rechercher. Par exemple, des avis de rançon répétés dans plusieurs répertoires. Il y a des facteurs tels que l’examen de la nature des changements apportés à un système de fichiers (volume, modèles, etc.).

Il s’est avéré que la recherche de groupes de comportements était le meilleur moyen de détecter l’apparition d’une attaque.

L’assemblage de l’ensemble

Nous pensons que les ransomwares ne devraient pas être en mesure d’infecter votre sauvegarde si vous voulez vraiment un point de récupération fiable.

En 2017, BackupAssist a lancé sa nouvelle fonction CryptoSafeGuard. Il combine un bouclier et un détecteur précoce pour aider à garder ses clients en sécurité, et leurs sauvegardes intactes quand ils en ont le plus besoin.

Le bouclier fonctionne 24h/24, 7j/7 et surveille l’accès aux dispositifs de sauvegarde en bloquant les accès non autorisés. Il ajoute une autre couche de protection en plus des listes de contrôle d’accès NTFS régulières. Ils ne sont pas particulièrement efficaces contre les ransomwares étant donné que les logiciels de rançon ont souvent un accès au niveau administrateur ou système.

Le détecteur précoce fonctionne en recherchant les activités malveillantes au moment de la sauvegarde. Dès qu’une telle activité est trouvée, CryptoSafeGuard enverra un SMS à l’administrateur enregistré et verrouillera les sauvegardes.

Lorsque vous combinez CryptoSafeGuard avec plusieurs sauvegardes compressées (qui sont des paramètres par défaut dans BackupAssist), cela maximise les chances d’une récupération réussie, sans avoir à payer la rançon.

Les sauvegardes seront-elles toujours en sécurité ?

Pouvons-nous être absolument sûr qu’un ransomware n’infectera jamais notre sauvegarde ?  C’est en fait la mauvaise question à se poser.

Comment pouvons-nous réduire les risques de perte de données et les temps d’arrêt de l’entreprise dus aux ransomwares ? Avons-nous fait tout ce que nous avons pu ? Une solution comme CryptoSafeGuard est-elle efficace contre les attaques pratiques ? Avant la diffusion à grande échelle, BackupAssist a fait appel à un laboratoire d’essais de sécurité indépendant pour vérifier l’efficacité de la solution, et a été très satisfaits des résultats.

Nous sommes entrés dans une nouvelle ère de l’informatique où l’interconnexion signifie que nous avons à la fois d’énormes avantages en termes de productivité et de commodité (comme le Cloud). Cependant, nous devons également faire face à un tout nouvel ensemble de risques.

La réalité est que nous sommes entrés dans une course, où les bons et les méchants doivent continuellement innover et essayer de garder une longueur d’avance. Ce qui est « sûr » cette année, peut ne pas l’être l’année prochaine. C’est pourquoi il est si important de rester à jour avec la sécurité, y compris les mises à jour du système d’exploitation et les mises à jour du logiciel de sauvegarde.

Vous recherchez un logiciel de sauvegarde et de protection des données ? Découvrez nos solutions de la gamme sauvegarde et l’ensemble de leurs fonctionnalités sur notre site web.

Source : Traduction de l’article rédigé par BackupAssist, Can ransomware infect your backups?

– Articles recommandés

0 commentaires