Les attaques de type « breachstortion » ont fait leur apparition dans le paysage de la menace. Comment résister au chantage – parfois basé sur du bluff ! –  de se faire afficher sur la place publique ou de voir ses données vendues sur le darknet ? Pour éviter de payer une rançon, mieux vaut avoir confiance dans ses défenses et penser à utiliser ses données de sauvegarde pour tester son niveau de protection.

Les attaques de type breachstortion sont en plein essor. Là où une attaque de ransomware est une « simple » prise en otage des systèmes informatiques d’une entreprise, les auteurs d’une opération de breachstortion ajoutent la menace de révéler publiquement qu’elle a été piratée et en prime, celle de vendre les données dérobées sur le darknet si une rançon n’est pas payée.

Aucun doute, aucune certitude

Les victimes d’attaques de ransomware préfèrent généralement rester discrètes sur la compromission de leurs données, pour des raisons assez évidentes. Admettre publiquement que ses systèmes ne sont pas suffisamment robustes pour protéger les données des usagers peut sérieusement entacher la réputation d’une entreprise, voire inciter ses clients à se tourner vers la concurrence. Il n’est donc pas surprenant que de nombreuses organisations se taisent et paient la rançon ou tentent de la négocier.

Les auteurs d’attaques de breachstortion choisissent généralement de ne pas immédiatement communiquer publiquement sur le succès de leur intrusion. La perspective d’une annonce officielle accentue la pression sur les victimes et les pousse à payer rapidement, parfois sans même prendre le temps des recherches et des analyses nécessaires pour évaluer la réalité de la menace.

Dans la prise de décision rapide qui s’impose dans ces circonstances, la question de quelles données un groupe d’attaquants a effectivement pu consulter et dérober est cruciale. Savoir si une intrusion frauduleuse dans les systèmes a effectivement eu lieu et si les auteurs disposent effectivement d’un levier est central pour décider de la suite à donner.
Les attaquants peuvent très bien ne fournir aucune preuve et néanmoins avoir mis la main sur une partie de vos données. Ils peuvent aussi bluffer. Le fait est que beaucoup de ces cybercriminels comptent sur la peur pour arriver à leurs fins. Le bluff est une pratique courante et s’il fonctionne une première fois, il est fort probable que les assaillants reviennent à la charge.

Comment donc une organisation peut-elle être sûre que son infrastructure informatique ne présente aucune faille susceptible de la mettre à la merci d’une telle pratique ?

Bloquer les accès et sécuriser les sauvegardes

Si un gang d’experts de l’extorsion a réellement eu accès à votre système, c’est vraisemblablement par une voie similaire à celles qu’une attaque ransomware aurait emprunté. Une campagne de phishing bien menée, ciblant du personnel mal formé sur la pratique, un scan des ports non sécurisés par des bots, l’insertion de supports de stockage externes ou encore des espaces cloud non sécurisés sont autant de portes dérobées possibles.

Vous devez en premier lieu déterminer quelles sont les faiblesses de votre système. Un simple test de résilience conduit par des fournisseurs de services tiers peut permettre de dresser un bilan exhaustif des forces et des faiblesses de votre périmètre.

La deuxième étape consiste à s’assurer que vos sauvegardes sont absolument hors de portée de n’importe quel type de logiciel malveillant. Vous seriez surpris de constater le nombre de solutions ou de services de sauvegarde qui se contentent de dupliquer les logiciels malveillants contenus dans un dataset, de sorte qu’une restauration entraîne un rétablissement des menaces. Il est également important de s’assurer que vos sauvegardes sont suffisamment complètes pour que vous puissiez être de nouveau complètement opérationnel, sans lacunes. Enfin, vous devez être en mesure de restaurer rapidement vos sauvegardes pour qu’elles soient pleinement utiles. Les temps d’arrêt sont couteux en termes de réputation et d’argent.

La troisième étape consiste à utiliser tous les éclairages dont vous pouvez disposer. Certaines plateformes de gestion des données proposent un traitement fondé sur le machine learning, qui surveille automatiquement et en permanence les anomalies. Par exemple, si le taux de changement des données de votre organisation est hors de la plage normale du taux de changement quotidien, ou si les volumes de sauvegarde augmentent soudainement de manière désynchronisée par rapport à l’utilisation normale, et si les autorisations sont modifiées sur les fichiers, c’est un signe avant-coureur possible d’une action malveillante.

Une sauvegarde complète dont vous êtes sûr qu’elle ne restaurera pas les logiciels malveillants et qui peut vous permettre de rétablir rapidement vos opérations constitue votre meilleure seconde ligne de défense si votre périmètre est pénétré. Maintenez votre RTO aussi bas que possible, en dessous d’une minute si votre système le permet.

Payer ou ne pas payer, telle est la question

Certains acteurs derrière les attaques de ransomware, comme Maze, ont pris l’habitude d’extorquer leurs victimes et de les exposer publiquement. Mais il existe des cas où une tentative d’extorsion est faite, sans qu’il y ait d’attaque de ransomware. Il est tout à fait possible qu’un individu malveillant n’ait jamais eu accès à votre système, et qu’il s’appuie sur votre seule peur et votre manque de confiance dans vos propres systèmes pour vous faire chanter.

Et ce doute pourrait bien s’accentuer dans les circonstances actuelles, sur fond de recours massif au télétravail et d’augmentation du nombre de cyberattaques. ESG a d’ailleurs récemment signalé que 47 % des organisations font état d’une augmentation de la cybercriminalité depuis que le télétravail s’est généralisé.

Malgré tout, ne pas payer de rançon est un sage conseil. Si quelqu’un a accédé à votre patrimoine informatique, il n’y a aucune garantie que personne d’autre ne l’ait fait. Si vous payez une fois, ne faites rien d’autre que de changer de mot de passe, il n’y a aucune garantie que la même situation ne se représentera pas dans une semaine, un mois ou un an, et que le tarif sera alors plus élevé. L’exécution du paiement à un criminel est en soi un levier suffisant pour une nouvelle extorsion puisqu’il pourra alors vous menacer de le faire savoir.

Le cybercrime est une économie en pleine effervescence, avec une pression des acteurs de la menace toujours plus grande et des attaques de plus en plus sophistiquées.

Mon conseil est simple : Faites le point sur votre sécurité, évaluez votre résistance aux attaques, effectuez des audits de récupération des données et augmentez la fréquence de vos sauvegardes pour réduire le risque de perte de données. Et enfin, ne payez pas de rançon ! Cela peut sembler un pari risqué, mais cela évitera d’entrer dans une spirale incontrôlable et de subir d’autres tentatives d’extorsion…
___________________

Par Christophe Lambert, Directeur Technique Grands Comptes EMEA, Cohesity