Pour rappel VEEAM est l'un des produits de sauvegarde d'entreprise les plus populaires
Extrait de Wikipedia :
L'attaque décrite cible Veem mais tous les services Cloud de sauvegarde sont concernésVeeam Software est une société privée spécialisée en technologies de l’information et en développement de logiciels de sauvegarde (backup), de reprise d’activité et d’administration des environnements virtualisés pour VMware et Hyper-V2,3. Le siège social de l’entreprise se trouve à Baar (Suisse).
La société produit des logiciels pour la virtualisation et le nom « Veeam » provient de la prononciation de l’acronyme anglais « VM » (« virtual machine », machine virtuelle)."
Le Cloud est souvent annoncé comme LA solution pour les sauvegardes
Se poser des questions sur le fait d'envoyer de précieuses données (surtout pour les entreprises oeuvrant dans certains secteurs), sur des serveurs d'origine étrangère, malgré toutes les garanties promises est légitime (En terme de sécurité il faut toujours avoir quelques doutes) maintenant il faut également se méfier des mauvaises configurations en amont, et usage au niveau client pouvant exposer à des failles (qu'elles soient matérielles/logicielles ou humaines via le phishing)
Une fois que les pirates ont accès à une machine, ils se propagent sur le réseau jusqu'à ce qu'ils aient accès aux informations d'identification de l'administrateur et au contrôleur de domaine.
Indépendamment du fait que les sauvegardes soient utilisées pour voler des données, avant de chiffrer les appareils sur le réseau, les attaquants supprimeront d'abord les sauvegardes afin qu'elles ne puissent pas être utilisées pour restaurer des fichiers chiffrés.
À l'aide d'outils tels que Mimikatz, ils procèdent au vidage des informations d'identification à partir d'active directory ». Le fait que des administrateurs configurent Veeam pour l'authentification Windows facilite grandement la tâche des pirates pour voler des données cloud.
Les pirates derrière le ransomware DoppelPaymer ont ainsi récemment publié sur un site leaké des identifiants (nom d'administrateur et mots de passe) d'un client ayant refusé de payer une rançon. https://www.bleepingcomputer.com/news/s ... tims-data/
Problème : ces derniers étaient relatifs à un compte de sauvegarde cloud Veeam, signifiant que les pirates ont eu dans leurs mains des données qui n'étaient pas dans le SI même de l'entreprise mais protégées dans le système d'un fournisseur tiers.
Rappel de la recommandation/configuration Veem :
https://www.veeam.com/wp-veeam-availabi ... reats.html
https://www.veeam.com/blog/how-to-follo ... ation.html
(La règle 3-2-1 préconise d'avoir 3 copies différentes de données sur 2 supports différents, dont l'un hors site.)
Dans un futur proche il faudra se méfier de plus en plus des attaques qui deviendront de plus en plus sophistiquées pour une simple raison :
Les cyber criminels ont commencé une adoption massive de l’intelligence artificielle
Plus précisément, le Machine Learning est utilisé pour renforcer les cyber-attaques en apprenant des réponses défensives déployées par les entreprises de cyber-sécurité, déjouer les modèles de détection et découvrir de nouvelles vulnérabilités avant qu’elles ne puissent être patchées.
Le Machine Learning permet aussi de créer des emails de phishing plus convaincants (sans oublier la fraude au Président avec deep fake et reproduction de la voix de l'interlocuteur)
viewtopic.php?t=63503
Source et détails : https://www.bleepingcomputer.com/news/s ... ainst-you/