Sauvegarde Cloud et ransomware : VEEAM

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Messages : 10240
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Sauvegarde Cloud et ransomware : VEEAM

par Parisien_entraide »

2020-03-05_104159.jpg
Les entreprises du cloud computing sont des proies idéales pour les ransomwares car elles détiennent généralement de grandes quantités de données appartenant à leurs clients


Pour rappel VEEAM est l'un des produits de sauvegarde d'entreprise les plus populaires

Extrait de Wikipedia :
Veeam Software est une société privée spécialisée en technologies de l’information et en développement de logiciels de sauvegarde (backup), de reprise d’activité et d’administration des environnements virtualisés pour VMware et Hyper-V2,3. Le siège social de l’entreprise se trouve à Baar (Suisse).
La société produit des logiciels pour la virtualisation et le nom « Veeam » provient de la prononciation de l’acronyme anglais « VM » (« virtual machine », machine virtuelle)."
L'attaque décrite cible Veem mais tous les services Cloud de sauvegarde sont concernés

Le Cloud est souvent annoncé comme LA solution pour les sauvegardes

Se poser des questions sur le fait d'envoyer de précieuses données (surtout pour les entreprises oeuvrant dans certains secteurs), sur des serveurs d'origine étrangère, malgré toutes les garanties promises est légitime (En terme de sécurité il faut toujours avoir quelques doutes) maintenant il faut également se méfier des mauvaises configurations en amont, et usage au niveau client pouvant exposer à des failles (qu'elles soient matérielles/logicielles ou humaines via le phishing)

Une fois que les pirates ont accès à une machine, ils se propagent sur le réseau jusqu'à ce qu'ils aient accès aux informations d'identification de l'administrateur et au contrôleur de domaine.
Veem Identification.jpg
Indépendamment du fait que les sauvegardes soient utilisées pour voler des données, avant de chiffrer les appareils sur le réseau, les attaquants supprimeront d'abord les sauvegardes afin qu'elles ne puissent pas être utilisées pour restaurer des fichiers chiffrés.
Veem sauvegarde.jpg

À l'aide d'outils tels que Mimikatz, ils procèdent au vidage des informations d'identification à partir d'active directory ». Le fait que des administrateurs configurent Veeam pour l'authentification Windows facilite grandement la tâche des pirates pour voler des données cloud.

Les pirates derrière le ransomware DoppelPaymer ont ainsi récemment publié sur un site leaké des identifiants (nom d'administrateur et mots de passe) d'un client ayant refusé de payer une rançon. https://www.bleepingcomputer.com/news/s ... tims-data/
Veem.jpg
Problème : ces derniers étaient relatifs à un compte de sauvegarde cloud Veeam, signifiant que les pirates ont eu dans leurs mains des données qui n'étaient pas dans le SI même de l'entreprise mais protégées dans le système d'un fournisseur tiers.


Rappel de la recommandation/configuration Veem :

https://www.veeam.com/wp-veeam-availabi ... reats.html
https://www.veeam.com/blog/how-to-follo ... ation.html

(La règle 3-2-1 préconise d'avoir 3 copies différentes de données sur 2 supports différents, dont l'un hors site.)


Dans un futur proche il faudra se méfier de plus en plus des attaques qui deviendront de plus en plus sophistiquées pour une simple raison :

Les cyber criminels ont commencé une adoption massive de l’intelligence artificielle
Plus précisément, le Machine Learning est utilisé pour renforcer les cyber-attaques en apprenant des réponses défensives déployées par les entreprises de cyber-sécurité, déjouer les modèles de détection et découvrir de nouvelles vulnérabilités avant qu’elles ne puissent être patchées.

Le Machine Learning permet aussi de créer des emails de phishing plus convaincants (sans oublier la fraude au Président avec deep fake et reproduction de la voix de l'interlocuteur)

viewtopic.php?t=63503



Source et détails : https://www.bleepingcomputer.com/news/s ... ainst-you/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 10240
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Sauvegarde Cloud et ransomware

par Parisien_entraide »

2021-12-13_093010.jpg

Je pense qu'il n'est pas inutile de revenir non pas sur le ransomware mais sur VEEAM, car il s'agit d' une solution de sauvegarde/restauration de Windows assez méconnue

Par contre ce n'est pas destiné à tout le monde (Même le Veeam agent pour les particuliers)
Ce n'est pas à installer par exemple sur le PC portable de Tata Lucienne 75 ans, pour sauvegarder les photos de cet été (elle s'est initiée au selfie) et ses vidéos Tik Tok :-)

Je ne vais pas réinventer la roue :

Une présentation et usage sur https://forum.hardware.fr/hfr/WindowsSo ... 1502_1.htm

Et chez VEEAM une Faq qui couvre de nombreux aspects, définitions et pas que liés à VEEAM
https://www.veeam.com/how-to-videos.htm ... -resources
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
Parisien_entraide
Messages : 10240
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Sauvegarde Cloud et ransomware : VEEAM

par Parisien_entraide »

VEEAM est dans une posture d'équilibriste suite aux sanctions contre la Russie

Dans l'historique de la société on sait que :

"Le 9 janvier 2020, Insight Partners annonce le rachat de Veeam pour 5 milliards de dollars et transfère la société aux États-Unis1"

Mais en fait il s'agit d'une société russo américaine

A l'origine, Veeam Software est fondée par Ratmir Timashev né à Ufa (Russie) , en 1966.
Il a obtenu deux diplômes de maîtrise en physique de l'Institut de physique et de technologie de Moscou (en 1990) et en physique chimique de l' Université d'État de l'Ohio (en 1996).
et
Andreï Baronov né également en Russie. Il était un collègue et ami d'université de Ratmir Timashev
Andrei a obtenu sa maîtrise à l'Institut de physique et de technologie de Moscou en 1990 et un doctorat en physique et technologie du même collège en 1995.

Pendant de nombreuses années, la plupart de ses activités de recherche et développement de VEEAM étaient basées à Saint-Pétersbourg, en Russie.

Elle a été rachetée par Insight Partners en 2020 qui a mis en place une nouvelle équipe de direction aux Etats Unis. Cependant, il reste encore à déterminer la part de code russe hérité qui se trouve dans ses produits ou qui continue d'y contribuer.

Actuellement VEEAM dispose de 70 développeurs en Russie sur un effectif de 110 personnes et c'est ce qui peut ou pourra poser problèmes dans le contexte de guerre actuel et sanctions

Quant à Ratmir Timashev et Andrei Baronov ils ont démissionné en tant que membres du conseil d'administration et ni l'un ni l'autre ne sont employés par Veeam mais... resteront impliqués dans l'entreprise à titre de consultant et continueront d'aider à assurer le succès futur de Veeam (En fait ils jouent les VRP et servent d'intermédiaires pour des pays comme la Russie)

Il est difficile d'en savoir plus car (je cite le site veem) "La transaction est évaluée à environ 5 milliards de dollars, mais nous ne divulguerons pas plus de détails sur la façon dont elle est structurée".


[b]Conséquence de la situation en Ukraine et de l'agression par la Russie [/b]

Veeam arrête ses ventes en Russie et prend des mesures d'aide à l'Ukraine
https://www.veeam.com/blog/142834.html

Cela comporte une offre logicielle et support
https://www.veeam.com/veeam-support-ukraine.html (je conseille de lire cependant https://www.veeam.com/privacy-notice.html dont la partie
"Divulgation à des tiers, fournisseurs de services et autres" qui peut nécessiter la demande d'une pièce d'identité

mais n'oublie pas de rappeler que : "En tant qu'entreprise mondiale basée aux États-Unis, qui exerce ses activités dans plus de 180 pays et possède des bureaux dans plus de 35 pays, nous gagnons en travaillant aux côtés de personnes de toutes nationalités, ethnies et religions différentes."

tout en omettant de rappeler certains détails en lien avec la Russie (comme les développeurs)
On ne sait si la phrase "La sécurité de nos employés et la poursuite de nos solutions logicielles critiques pour nos clients mondiaux restent nos principales priorités. " se réfèrent à ceux ci (la position prise par veem peut etre dangereuse pour eux)
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »