Sauvé de justesse par nos experts !

Sauvetage d’un de nos clients
contaminé par un Ransomware
Grâce aux experts de Yad Informatique

 sauvetage client yad informatique

L’un de nos clients* dont l’infrastructure informatique s’étale sur tout le territoire français
l’a échappé belle !

(*Par souci de confidentialité, le nom du client ne sera pas divulgué)

Retour en quelques lignes, étape par étape, sur cette attaque qui aurait pu s’avérer une vraie catastrophe si nos techniciens de choc ne l’avait pas enrayée à temps !

Lyon, pas plus tard que le 2 février dernier,

  • 12h48 : grâce à nos systèmes de monitoring nous recevons une alerte qui nous signale un souci de connexion avec TOUS les serveurs de Notre Client X. Hélas, le personnel étant en « pause déjeuner » nous devons attendre pour les prévenir.
  • 13h30 : le responsable informatique du client, nous annonce qu’il n’a plus accès à quoi que ce soit, et que leur serveur de production présente un souci : le diagnostic à distance ayant échoué, nous dépêchons en urgence un technicien sur place.
  • 14h : Arrivé sur le site du client, notre technicien diagnostique rapidement un virus de type ransomware présent sur le serveur principal qui gère leurs 5 machines virtuelles. Il le met immédiatement en quarantaine et évalue les dégâts : Les données de la baie de brassage sont complètement vérolées, c’est à dire tous les fichiers des disques durs virtuels de TOUS les serveurs !
  • On décide aussitôt de basculer la production sur un deuxième serveur de secours.
  • Notre technicien établit un diagnostic de l’état d’intégrité de la sauvegarde sur le serveur NAS du jour, à 12h30, heureusement il s’avère que cette sauvegarde est non vérolée.
  • Conjointement avec le client, il est décidé de restaurer cette sauvegarde effectuée le jour même à 12h00 quitte à ce que cela entraine une perte de données de 20 minutes seulement depuis la dernière sauvegarde.
  • Après avoir travaillé d’arrache-pied pour tout nettoyer, nos techniciens réussissent à remettre en production TOUS les serveurs du client dans la nuit, puis le lendemain nous récupérons le serveur vérolé afin de le réparer.

 

Tout a été très vite, le pire a été évité,
mais que s’est -il passé précisément ?
Par quoi cette attaque s’est déclenchée ?

ransomware-yad info

 

En fait à l’origine des faits, le même jour à 12h25, un hacker a récupéré l’utilisateur du compte crée par leur fournisseur d’imprimante réseau.

Il a usurpé le mot de passe le plus simplement du monde, puisque celui-ci était identique au nom d’utilisateur. Il a ensuite usurpé les droits à partir du compte Windows utilisé pour scanner leur doc et augmenter des privilèges (droits Windows) pour se constituer Administrateur. Il a immédiatement procédé au cryptage de tous les fichiers et dans la foulée il a exporté la clé pour que les fichiers soient cryptés.

 

Que ce serait-il passé sans l’intervention rapide de nos techniciens ? et si la sauvegarde était aussi vérolée ? et si la rançon avait été fixée à 10 000 €uros, en bitcoin ?

 

Eh bien notre client aurait tout simplement perdu toutes ses données, voire même payé une forte rançon pour tenter de les récupérer et qui sait si les pirates auraient restitué l’entièreté des données une fois la totalité des bitcoins récupérés ? Ainsi, la pérennité d’une entreprise est en question lorsqu’une perte de données est constatée. 93% des sociétés ayant perdu leurs données pendant 10 jours ont ainsi fait faillite l’année suivant la perte alors que 60% des entreprises victimes d’une perte de données simple cessent leur activité dans les 6 mois.

fermetures et faillites suite ransomware

Les entreprises sont de plus en plus vulnérables : les hackers peuvent leur extorquer une rançon qu’elles sont souvent disposées à payer pour pouvoir exercer la continuité de leur activité.

ransomware-yad informatique

Les nouveaux vecteurs d’infection ciblant les entreprises se multiplient considérablement.

Les pirates exploitent leurs vulnérabilités afin d’infecter les réseaux des entreprises et leurs méthodes sont sans cesse en train d’évoluer : désormais il y a de moins en moins d’emails de phishing et de plus en plus de méthodes de contamination alternatives, qui ciblent des failles du système d’information et qui n’ont parfois besoin d’aucune interaction. Ainsi, ces programmes essaieront d’entrer sur le réseau de votre entreprise par des ports ouverts, ou par des failles de votre système d’information, comme illustré dans le cas de notre client X, pour une simple histoire de mot de passe !

prudence informatique

Votre entreprise se doit d’être de plus en plus prudente car les attaques ransomwares sont loin de s’arrêter !

En plus des moyens de protection classiques tels que les anti-virus ou pares-feux, vous devez mettre en place des dispositifs permettant d’avoir le bon comportement en cas de contamination avérée, mais également sensibiliser les utilisateurs aux multiples méthodes évitant les ransomwares.

Quand bien même vous seriez victime d’une attaque, vous devrez savoir quel est le meilleur moyen de réagir.

La première des protections est bien entendu de disposer d’une sauvegarde à jour et sûre : Celle-ci vous permettra de ne pas être dépendant des pirates ni de leur demande de rançon.
Ensuite, il vous faut mettre en place des procédures à suivre en cas de contamination ou de vol de données, de type PCA ou PRA. C’est ce qui permettra, avec la récupération de la sauvegarde dont nous parlions précédemment, de poursuivre votre activité ou de la reprendre avec un impact minimal pour le fonctionnement de votre entreprise.

Bien qu’ initiée sur un seul poste, une attaque de ransomware s’étend généralement dans la plupart des cas à plusieurs postes voire sur tout un réseau.

Pour ne pas être contaminer, nous vous recommandons d’isoler l’ordinateur du réseau, en le débranchant d’Internet et en l’éteignant. Il s’agit de l’alternative la plus sûre pour éviter la propagation du virus aux autres ordinateurs sains

Adoptez les bons réflexes !

Nos techniciens maîtrisent parfaitement toutes ces technologies et se tiennent constamment en veille.

N’hésitez pas à nous confier la sécurité de votre système informatique

Contactez votre conseiller Yad Informatique au 04 72 68 60 90

 

 

 

 

 

 

 

 

 

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *