Sauvegarde Cloud et ransomware

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Sauvegarde Cloud et ransomware

Message par Parisien_entraide »

2020-03-05_104159.jpg
Les entreprises du cloud computing sont des proies idéales pour les ransomwares car elles détiennent généralement de grandes quantités de données appartenant à leurs clients


Pour rappel VEEM est l'un des produits de sauvegarde d'entreprise les plus populaires

Extrait de Wikipedia :
Veeam Software est une société privée spécialisée en technologies de l’information et en développement de logiciels de sauvegarde (backup), de reprise d’activité et d’administration des environnements virtualisés pour VMware et Hyper-V2,3. Le siège social de l’entreprise se trouve à Baar (Suisse).
La société produit des logiciels pour la virtualisation et le nom « Veeam » provient de la prononciation de l’acronyme anglais « VM » (« virtual machine », machine virtuelle)."
L'attaque décrite cible Veem mais tous les services Cloud de sauvegarde sont concernés

Le Cloud est souvent annoncé comme LA solution pour les sauvegardes

Se poser des questions sur le fait d'envoyer de précieuses données (surtout pour les entreprises oeuvrant dans certains secteurs), sur des serveurs d'origine étrangère, malgré toutes les garanties promises est légitime (En terme de sécurité il faut toujours avoir quelques doutes) maintenant il faut également se méfier des mauvaises configurations en amont, et usage au niveau client pouvant exposer à des failles (qu'elles soient matérielles/logicielles ou humaines via le phishing)

Une fois que les pirates ont accès à une machine, ils se propagent sur le réseau jusqu'à ce qu'ils aient accès aux informations d'identification de l'administrateur et au contrôleur de domaine.
Veem Identification.jpg
Indépendamment du fait que les sauvegardes soient utilisées pour voler des données, avant de chiffrer les appareils sur le réseau, les attaquants supprimeront d'abord les sauvegardes afin qu'elles ne puissent pas être utilisées pour restaurer des fichiers chiffrés.
Veem sauvegarde.jpg

À l'aide d'outils tels que Mimikatz, ils procèdent au vidage des informations d'identification à partir d'active directory ». Le fait que des administrateurs configurent Veeam pour l'authentification Windows facilite grandement la tâche des pirates pour voler des données cloud.

Les pirates derrière le ransomware DoppelPaymer ont ainsi récemment publié sur un site leaké des identifiants (nom d'administrateur et mots de passe) d'un client ayant refusé de payer une rançon. https://www.bleepingcomputer.com/news/s ... tims-data/
Veem.jpg
Problème : ces derniers étaient relatifs à un compte de sauvegarde cloud Veeam, signifiant que les pirates ont eu dans leurs mains des données qui n'étaient pas dans le SI même de l'entreprise mais protégées dans le système d'un fournisseur tiers.


Rappel de la recommandation/configuration Veem :

https://www.veeam.com/wp-veeam-availabi ... reats.html
https://www.veeam.com/blog/how-to-follo ... ation.html

(La règle 3-2-1 préconise d'avoir 3 copies différentes de données sur 2 supports différents, dont l'un hors site.)


Dans un futur proche il faudra se méfier de plus en plus des attaques qui deviendront de plus en plus sophistiquées pour une simple raison :

Les cyber criminels ont commencé une adoption massive de l’intelligence artificielle
Plus précisément, le Machine Learning est utilisé pour renforcer les cyber-attaques en apprenant des réponses défensives déployées par les entreprises de cyber-sécurité, déjouer les modèles de détection et découvrir de nouvelles vulnérabilités avant qu’elles ne puissent être patchées.

Le Machine Learning permet aussi de créer des emails de phishing plus convaincants (sans oublier la fraude au Président avec deep fake et reproduction de la voix de l'interlocuteur)

viewtopic.php?t=63503



Source et détails : https://www.bleepingcomputer.com/news/s ... ainst-you/
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

Répondre

Revenir à « Securite informatique »